iptable 的安装与设定.doc

iptables 的安装与设定 防火墙(Firewall)简介 ? 1. 防火墙可作用在网络层/传输层(Network/Transport Layer)或应用层(Application Layer)，网络层的防火墙处理速度较快，使用者感觉不到但容易破解，应用层的防火墙处理速度慢但可检查的项目多，因此较不容易破解。2. iptables 属于网络层/传输层的防火墙，它将封包的处理分成三个tables， table中包含chains， chains 里面包含 rules 和 policies。请参阅架构图3. 三个tables分别是???(1) nat：提供地址转换(Network Address Translation)功能???(2) mangle：提供封包改写(Mangling)功能???(3) filter：提供封包过滤(Filtering)功能 移除 ipchain 模块 1. lsmod | grep ipchains检查 ipchains 是否加载 kernel(因为RedHat目前预设安装的防火墙仍是使用 ipchains)2. rmmod ipchains 从 kernel 移除 ipchains 模块3. service ipchains stop 停止 ipchains 的执行4. rpm -e ipchains-1.3.10-13 移除 ipchains 套件的安装 安装 iptables 模块 ? 1. rpm -Uvh iptables-1.2.5-3.i386.rpm 安装 iptables 套件2. modprobe ip_tables 将 iptables 模块加载 kernel3. lsmod ip_tables 检查 kernel 是否有 iptables 模块 iptable 指令格式 ? ??iptables [-t 表格名称] 指令 条件 [目标|链]1. 指令集 -N 建立一个新的(自定)链 -X 删除一个空的(自定)链 -P 改变一个内建链的原则 -L 列出一个链中的规则 -F 清除一个(内建)链中的所有规则 -A 在一个链的最后面新增( append ) 一条规则 -I 在链内某个位置插入( insert ) 一条新规则 -R 在链内某个位置替换( replace ) 一条规则 -D 在链内某个位置删除( delete ) 一条规则 ? ? 2 . 目标集 ACCEPT 通过这个链检验，接受这个封包 SNAT 改变封包来源IP字段的值(nat, POST) DROP 未通过这个链检验，立即丢弃这个封包 DNAT 改变封包目标IP字段的值(nat, PRE,O) QUEUE 将封包重导至本机端的队列 ( queue ) 程序 MASQUERADE 动态的根据路由，来修改 Source Socket(nat, POST) RETURN 通过这个链的检验，回到原来的链中 REDIRECT 重导封包至另外一个地址或连接端口 TOS 改变封包 TOS 字段的值 TTL 改变封包 TTL 字段的值 REJECT 未通过这个链检验，丢回错误封包作回应(filter,I,F,O) ? ? 3. 条件 -i-o 相关界面 --sport 来源埠口 -p 所属协定(tcp, udp, icmp) -d 目的地(Address/SubnetMask) -m state 联机类型(ESTABLISHED, INVALID) --dport 目的地埠口 --tcp-flags--icmp-type 封包类型 INPUTOUTPUTFORWARD 封包于防火墙中的流向 -s 来源地(Address/SubnetMask) -j 跳至目标或自定链 在预设链中，规则(Rules)由第一条往下检查，当在某一条规则满足检验时(可能是拒绝或通行)，往下的规则就不在检验。在自定链中，规则(Rules)由第一条往下检查，当在某一条规则满足检验时(可能是拒绝或通行)，往下的规则就不在检验，而跳回呼叫它的预设链，继续往下检验。 设定使用 iptables ? 1. 启动 kernel 的 ip_routing 功能更改 /etc/sysctl.conf设定档，设定 net.ipv4.ip_forward = 1或执行 echo 1 /proc/sys/net/ipv4/ip_forward2. 启动 iptables 服务service iptables [start | restart | status]当启动 iptables时，会读入 /etc/syscon