Linux防火墙 配置文件 iptables详解.pdfVIP

对于 Internet 上的系统 ，不管是什么情况都要明确一点：网络是不安全的。因此，虽然 创建一个防火墙并不能保证系统 100％安全，但却是绝对必要的。 Linux 提供了一个非 常优秀的防火墙工具—netfilter/iptables 。它完全免费、功能强大、使用灵活、可以对流 入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。本文将简单介绍 使用 netfilter/iptables 实现防火墙架设和 Internet 连接共享等应用。 netfilter/iptabels 应用程序，被认为是 Linux 中实现包过滤功能的第四代应用程序。 netfilter/iptables 包含在 2.4 以后的 内核中，它可以实现防火墙 、NAT （网络地址翻 译） 和数据包的分割等功能。netfilter 工作在 内核 内部，而 iptables 则是让用户定义规则集的 表结构 。netfilter/iptables 从 ipchains 和 ipwadfm （IP 防火墙管理）演化而来 ，功能更 加强大。下文将netfilter/iptabels 统一称为iptables 。 可 以用 iptables 为Unix 、Linux 和 BSD 个人工作站创建一个防火墙 ，也可以为一个子 网创建防火墙以保护其它的系统平台。iptales 只读取 数据包头 ，不会给信息流增加负担 ， 也无需进行验证 。要想获得更好的安全性，可以将其和一个代理服 务器（比如 squid ）相 结合。 基本概念 典型的防火墙设置有两个网卡 ：一个流入，一个流出。iptables 读取流入和流出数据包的 报头 ，将它们与规则集（Ruleset ）相比较 ，将可接受的数据包从一个网卡转发至另一个 网卡 ，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。 通 过向防火墙提供有关对来自某个源地址、到某个 目的地或具有特定协议类型的信息包 要做些什么的指令，规则控制信息包的过滤 。通过使用 iptables 系统提 供的特殊命令 iptables 建立这些规则 ，并将其添加到 内核空 间特定信息包过滤表 内的链中。关于添加、 去除、编辑规则的命令，一般语法如下： iptables [-t table] command [match] [target] 1 ．表（table ） [-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链 的信息包过滤表。有三个可用的表选项 ：filter 、nat 和 mangle 。该选项不是必需的，如 果未指定，则filter 作为缺省表。各表实现的功能如表 1 所示。 表 1 三种表实现的功能 !--[if !vml]--2 ．命令（command ） command 部分是 iptables 命令最重要的部分。它告诉iptables 命令要做什 么 ，例如插入 规则 、将规则添加到链的末尾或删除规则 。表2 是最常用的一些命令及例子。 表 2 命令的功能和样例 !--[if !vml]--!--[endif]-- 3 ．匹配（match ） iptables 命令的可选match 部分指定信息包与规则匹配所应具有的特征（如源地址、目的 地址、协议等）。匹配分为通用匹配和特定于协议的匹配两大类 。这里将介绍可用于采用 任何协议的信息包的通用匹配。表 3 是一些重要且常用的通用匹配及示例说明。 表 3 通用匹配及示例说明 !--[if !vml]--!--[endif]-- 4 ．目标 （target ） 目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义 的目标之外，还有许多可用的目标选项 。表4 是常用的一些目标及示例说明。 除表 4 外，还有许多用于建立高级规则的其它 目标