iptables基础.pdfVIP

新建 文本文档 (2) 此文档描述在Linux2.4 内核中，如何使用iptables过滤不正确的包 Linux 2.4 Packet Filtering HOWTO 简体中文版 Rusty Russell, mailing list netfilter@ $Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $ 简体中文：洋鬼鬼·NetSnake 感谢 网中人netmanforever@ 提供的繁体参照 此文档描述在Linux2.4 内核中，如何使用iptables过滤不正确的包 （译者：Packet在很多专业书籍中译为分组，此处根据大部分人的习 惯，仍译为包） 1. 简介 2. 官方站点及邮件列表 3. 那么，什么是Packet Filter？ 3.1 我为什么需要Packet Filter？ 3.2 如何在Linux下进行包过滤？ 3.2.1 iptables 3.2.2 创建永久性规则 4. 你算老几，凭什么玩弄我的内核？ 5. Rusty的真正的包过滤快速指南 6. 包是如何穿过过滤器的 7. 使用iptables 7.1 当计算机启动后你会看到的 7.2 对单个规则的操作 7.3 过滤规格 7.3.1 指定源和目的IP地址 7.3.2 反向指定 7.3.3 协议指定 7.3.4 接口指定 7.3.5 分片指定 7.3.6 iptables扩展：新的匹配 TCP 扩展 .1 TCP标志的解释 UDP 扩展 ICMP扩展 其他匹配的扩展 状态匹配 7.4 目标规格 7.4.1 用户定义链 7.4.2 iptables扩展： 目标 7.4.3 特殊的内建目标 7.5 对整个链进行操作 7.5.1 创建 链 7.5.2 删除链 7.5.3 清空一个链 第 1 页 新建 文本文档 (2) 7.5.4 对链进行列表 7.5.5 重置 （清零）计数器 7.5.6 设置原则（默认规则） 8. 使用ipchains和ipfwadm 9. NAT和包过滤的混合使用 10. iptables和ipchains之间的差别 11. 对制定包过滤器的建议 1. 简介 欢迎，亲爱的读者。 这篇文章假设你知道有关IP地址、网络地址、网络掩码、选路和DNS。如 果不知道，我建议你先 读网络概念的HowTo （Network Concepts HOWTO ）。 这篇HOWTO并非一个简要的介绍 （会让你发热、发毛，没有安全感），也 非一个完全的原始的披露 （最吃苦耐劳的人也会被搅晕，不过必定会有 所斩获）。 你的网络并不安全。问题在于，必须获取快速、简洁的通讯，但又必须 限于良好的、无恶意的行为，就如同在嘈杂的大戏院里，你可以高谈阔 论，但是绝不能大喊：着火了！。这篇HOWTO不能解决这种问题。 （译者：所有安全都只是相对的，否则根本不会产生这种东西了） 因此，你只能决定在哪方面妥协。我想帮助你使用一些可用的工具和一 些通常需要注意的漏洞，希望你将它们用在好的一面，而不是 于恶意 的目的 -- 另一个同样重要的问题。 (C) 2000 Paul `Rusty Russell. Licenced under the GNU GPL. 2、 官方站点及邮件列表位置 这里有三个官方站点： o Thanks to Filewatcher . o Thanks to The Samba Team and SGI . o Thanks to Harald Welte . 你可以通过以下站点访问全部相关站点。 and 以下是netfilter官方邮件列表 /contact.html#list. 3.那么，什么是包过滤器？ 包过滤器是这样一种软件：它检查通过的每个包的头部，然后决定如何 处置它们。可以这样对待它们：丢弃 （也就是说，如果这个包从未被接 受，那么丢弃它），通过（也就是说，让包通过），或者更复杂的（操 作）。 Linux下，包过滤内建在内核中（内核模块，或者内建），而且我们还有 处理包的一些技巧，不过检查头部和处理包的一般性原则仍在这里。 3.1 我为何要包过滤？ 控制、安全、警戒。 控制： 第 2 页 新建