Linux_Netfilter_Iptables简介.pdfVIP

etfiter/itabes etfiter/itabes 简介简介 eetfiter/itabes tfiter/itabes 简介简介 简介简介 ： etfiter/itabes ： 是与最新的 2.4.x 版本 Liux 内核集成的 IP 信息包过滤系统 。如果 Liux 简介简介 ：： 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器 ，则该系统有利于在 Liux 系统上更好地控制 IP 信息包过滤和防火墙配置 。Mugdha Vairagade 将介绍 etfiter/itabes 系统 、它是如何工作的、它的优点、安装和配置以及如何使用它来配置 Liux 系统上的防火墙 以过滤 IP 信息包 。 注：注 ：至少具备 Liux OS 的中级水平知识 ，以及配置 Liux 内核的经验 ，将有助于对本文的理解。 注注 ：： Liux 安全性和 etfiter/itabes Liux 因其健壮性 、可靠性、灵活性以及好象无限范围的可定制性而在 IT 业界变得非常受 欢迎 。Liux 具有许多内置的能力，使开发人员可以根据自己的需要定制其工具、行为和外观， 而无需昂贵的第三方工具 。如果 Liux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特 网的代理服务器 ，所要用到的一种内置能力就是针对网络上 Liux 系统的防火墙配置 。可以在 etfiter/itabes IP 信息包过滤系统 （它集成在 2.4.x 版本的 Liux 内核中 ）的帮助下运用这种能 力。 在如 ifwad 和 ichais 这样的 Liux 信息包过滤解决方案中 ，etfiter/itabes IP 信息包 过滤系统是最新的解决方案 ，而且也是第一个集成到 Liux 内核的解决方案 。对于 Liux 系统 管理员 、网络管理员以及家庭用户 （他们想要根据自己特定的需求来配置防火墙、在防火墙解决 方案上节省费用和对 IP 信息包过滤具有完全控制权 ）来说 ，etfiter/itabes 系统十分理想。 理解防火墙配置和信息包过滤 对于连接到网络上的 Liux 系统来说 ，防火墙是必不可少的防御机制，它只允许合法的网 络流量进出系统 ，而禁止其它任何网络流量。为了确定网络流量是否合法，防火墙依靠它所包含 的由网络或系统管理员预定义的一组 规则 。这些规则告诉防火墙某个流量是否合法以及对于来 自某个源 、至某个目的地或具有某种协议类型的网络流量要做些什么 。术语 “配置防火墙”是指 添加 、修改和除去这些规则。稍后，我将详细讨论这些 规则 。网络流量由 IP 信息包 （或，简 称 信息包 ）— 以流的形式从源系统传输到目的地系统的一些小块数据 — 组成 。这些信息包有 头 ，即在每个包前面所附带的一些数据位，它们包含有关信息包的源、目的地和协议类型的信息。 防火墙根据一组规则检查这些头 ，以确定接受哪个信息包以及拒绝哪个信息包。我们将该过程称 为 信息包过滤 。 为什么要配置自己的防火墙 ？ 出于各种因素和原因 ，需要根据特定需求来配置防火墙。或许，最重要的原因是安全性。 管 理员可能想让他们的防火墙能够阻止未经授权的源访问其 Liux 系统 ，例如通过 Teet。他们 可能还想限制进出其系统的网络流量 ，以便只有来自可信源的流量才可以进入其系统，以及只有 授权的流量才可以出去 。家庭用户可能通过允许所有的出站信息包都可以通过，将防火墙配置成 较低的安全性级别 。 另一个背后的原因是，通过阻塞来自类似广告站点之类的源的多余流量， 可以节省带宽 。 因而，可以定制防火墙配置来满足任何特定需求和任何安全性级别需求。这就 是 etfiter/itabes 系统的用武之处 。 etfiter/itabes 系统是如何工作的 ？ etfiter/itabes IP 信息包过滤系统是一种功能强大的工具 ，可用于添加、编辑和除去规则， 这些规则是在做信息包过滤决定时 ，防火墙所遵循和组成的规则。这些规则存储在专用的信息包 过滤表中 ，而这些表集成在 Liux 内核中 。在信息包过滤表中，规则被分组放在我们所谓的