IPTABLS详解.doc

IPTABLES iptables 是与最新的 3.5 版本 Linux HYPERLINK /view/1366.htm内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的HYPERLINK /view/751.htm代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和HYPERLINK /view/3067.htm防火墙配置。 1HYPERLINK /view/504557.htm?fr=aladdin#1简介 2HYPERLINK /view/504557.htm?fr=aladdin#2系统优点 3HYPERLINK /view/504557.htm?fr=aladdin#3命令说明 4HYPERLINK /view/504557.htm?fr=aladdin#4相关应用 5HYPERLINK /view/504557.htm?fr=aladdin#5相关命令 6HYPERLINK /view/504557.htm?fr=aladdin#6操作方法 7HYPERLINK /view/504557.htm?fr=aladdin#7规则示例 8HYPERLINK /view/504557.htm?fr=aladdin#8版本发布 1简介 HYPERLINK /subview/3067/9048966.htm防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信 息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。 netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它。[1] 与Linux内核各版本集成的防火墙历史版本： 2.0.X内核：ipfwadm 2.2.X内核：ipchains 2.4.X内核：iptables 2系统优点HYPERLINK /view/504557.htm?fr=aladdin#编辑 netfilter/iptables 的最大优点是它可以配置有状态的HYPERLINK /view/3067.htm防火墙，这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的HYPERLINK /view/3067.htm防火墙能够指定并记住为发送或接收HYPERLINK /view/1654236.htm信息包所建立的连接的状态。HYPERLINK /view/3067.htm防火墙可以从HYPERLINK /view/1654236.htm信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，HYPERLINK /view/3067.htm防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 状态 ESTABLISHED 指出该HYPERLINK /view/1654236.htm信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。INVALID 状态指出该HYPERLINK /view/1654236.htm信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。状态 NEW 意味着该HYPERLINK /view/1654236.htm信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联。最后， RELATED 表示该HYPERLINK /view/1654236.htm信息包正在启动新连接，以及它与已建立的连接相关联。 netfilter/iptables 的另一个重要优点是，它使用户可以完全控制HYPERLINK /view/3067.htm防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求，从而只允许您想要的网络流量进入系统。 另外，HYPERLINK /view/490561.htmnetfilter/iptables 是免费的，这对于那些想要节省费用的人来说十分