Linux 网络管理项目10 Linux防火墙实现——iptables1.pptVIP

3.新增与插入规则 新增与插入规则较语法复杂，大概格式是：命令+操作表格+过滤条件+处置动作构成。具体格式如下： iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j [ACCEPT,DROP] 参数说明： -A：新增加一条规则，该规则增加在最后面，例如原本已经有四条规则， 使用 -A 就可以加上第五条规则！ -I：插入一条规则，如果没有设定规则顺序，预设是插入变成第一条规则， 例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 INPUT　：规则设定为 filter table 的 INPUT 链 OUTPUT ：规则设定为 filter table 的 OUTPUT 链 FORWARD：规则设定为 filter table 的 FORWARD 链 　 -i：设定数据包进入的网络接口 -o：设定数据包流出的网络接口 Interface：网络卡接口，例如eth0, eth1，ppp0等 -p：请注意，小写，数据包的协议。 tcp ：数据包为 TCP 协议的包； upd ：数据包为 UDP 协议的包； icmp：数据包为 ICMP 协议； all ：表示为所有的包。 　 -s：来源数据包的 IP 或者是 Network ( 网域 ) --sport：来源数据包的端口号，也课使用port1:port2，如21:23，表示允许21,22,23 通过 -d：目标主机的 IP 或者是 Network ( 网域 ) --dport：目标主机的 port 号码　 -j：动作，通常是以下的动作； ACCEPT：接受该封包 DROP：丢弃封包 LOG：将该封包的信息记录下来 (默认记录到 /var/log/messages 文件) 以上新增与插入规则只是针对主机设置的这一部分，还有更多的，比如针对NAT的规则、针对硬件地址(MAC)分析规则等需要参考资料。 4.保存与恢复防火墙规则 这主要涉及两个iptables命令。 1）保存规则 iptables-save filename 将防火墙机制储存成 filename 那个文件，该文件为ASCII 格式，可以进入查看。 2）恢复规则 iptables-restore filename 将 filename 那个防火墙文件的规则读入目前的 Linux 主机环境中。 拓 展 提 高 1）构建一个更完善的防火墙； 2）网络地址转换（NAT）； 3）iptables与Squid透明代理； 4）使用FireStarter防火墙。 任务1构建一个更完善的防火墙 使用 iptables搭建简单防火墙已经能够完成本地局域网相互访问，Linux主机也能够访问Internet，但如果Linux主机还提供Web、邮件服务等服务，简单服务器设置能满足要求吗？另外，一些更安全的规则也应该考虑。 1.主机提供服务 以下过程要在Linux主机保证运行了Apache服务器。 1）配置前测试 在上层局域网的主机6上打开浏览器，输入Linux主机地址66，访问Linux主机web站点；在本地局域网主机上打开浏览器，输入Linux主机地址，访问Linux主机web站点。 以上两种操作，正常情况上层局域网的主机不能访问Web站点，而本地局域可以正确访问。 2）添加规则允许Web服务 student@ubuntu:~$ sudo iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT 允许eth1上目的端口是80的数据包进入主机。 3）添加规则后测试 在上层局域网的主机打开浏览器，输入Linux主机地址66，访问Linux主机web站点； 4）添加规则允许邮件服务 邮件服务使用的是25、110两端口，添加规则允许进入。 student@ubuntu:~$ sudo iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT student@ubuntu:~$ sudo iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT对于其他服务，依照上述方法打开相应的端口。 2、安全规则 1）限制icmp包 icmp包通常用于网络测试等，黑客常常采用icmp进行攻击。当其他主机使用ping命令（ping命令使用icmp包）测试时，主机不响应。 student@ubun