Linux操作系统第12章iptables服务器配置.ppt

17．参数 --mark 例如 iptables -t mangle -A INPUT -m mark --mark 1 说明：用来匹配封包是否被表示某个号码，当封包被匹配成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。 18． 参数 -m owner --uid-owner 例如 iptables -A OUTPUT -m owner --uid-owner 500 说明：用来匹配来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法 匹配出来自其它主机的封包。 command语法格式 19．参数 -m owner --gid-owner 例如 iptables -A OUTPUT -m owner --gid-owner 0 说明： 用来匹配来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。 20．参数 -m owner --pid-owner 例如 iptables -A OUTPUT -m owner --pid-owner 78 说明：用来匹配来自本机的封包，是否为某特定进程所产生的，使用时机同上。 21． 参数 -m owner --sid-owner 例如 iptables -A OUTPUT -m owner --sid-owner 100 说明： 用来匹配来自本机的封包，是否为某特定 连接（Session ID）的响应封包，使用时机同上。 command语法格式 22．参数 -m state --state 例如 iptables -A INPUT -m state --state RELATED,ESTABLISHED 说明：用来匹配连接状态， 连接状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。 INVALID 表示该封包的连接编号（Session ID）无法辨识或编号不正确。 ESTABLISHED 表示该封包属于某个已经建立的连接。 NEW 表示该封包想要起始一个连接（重设连接或将连接重导向）。 RELATED 表示该封包是属于某个已经建立的连接，所建立的新连接。例如：FTP-DATA 连接必定是源自某个 FTP 连接。 command语法格式 iptables目标动作 [-j target/jump] 常用的处理动作： -j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分别说明如下： ACCEPT：将封包放行，进行完此处理动作后，将不再匹配其它规则，直接跳往下一个规则链（natostrouting）。 REJECT：拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（这个封包会要求对方关闭 连接），进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。 例如： iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset DROP： 丢弃封包不予处理，进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。 REDIRECT： 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续匹配其它规则。 这个功能可以用来实现透明代理或用来保护 web 服务器。 例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 command语法格式 Linux操作系统 第12章 iptables服务器配置 Linux操作系统实用教程 iptables简介 iptables的功能 iptables 数据包的流程 IP转发 iptables简介 目前，网络安全问题日益重要，防火墙存在的必要性也越来越显著。Linux的防火墙是由netfilter和iptables两个组件构成。 netfilter组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则iptables 组件也称为用户空间（userspace），是防火墙的管理工具，它是用户和防火墙之间的桥梁，我们通过iptables执行命令或者修改配置文件来设置规则，netfilter