实验四课时防火墙iptables.pdfVIP

iptables：

iptables是linuxKernel2.4.xx版本以上的主要IP过滤机制！他最大的

功能就是可以过滤掉不要的TCP封包啦！当然功能还不止于此，他还可以用来

进行IP，以达成NAT的主机功能呢！iptables的工作方向，必须要依

规则的顺序来分析，我们简单的谈一谈iptables的几个概念吧：

有几个tables：

跟之前版本的ipchains不同的地方是，iptables可以自行定义一些tables

的定！将可以让规则变的更为便于管理呢！基本上，原本的

iptable至少有两个table，一个是filter(预设的，没有填写tables

时，就是filter这个table啦)，一个则是相当重要的nattable。其

中，filter可以用来管理主机的安全，至于nat则是用来处理NAT的功能

啦！

清除规则：

iptables的订定方法其实很简单，就是使用指令列的方式来订定而已，他的基

础语法在清除规则时，是这样的：

[root@test/root]#/sbin/iptables[-FXZ]

参数说明：

-F：清除所有的已订定的规则；

-X：杀掉所有使用者建立的chain(应该说的是tables）啰；

-Z：将所有的chain的计数与流量统计都归零

范例：

[root@test/root]#/sbin/iptables-F

[root@test/root]#/sbin/iptables-X

[root@test/root]#/sbin/iptables-Z

请注意，如果在联机的时候，『这三个指令必须要用scripts来连续执

行』，不然肯定『会让你自己被主机挡在门外！』

定义政策()：

清除规则，再接下来就是要设定规则的政策啦！这个所谓的政策指的是

『当你的封包不在你的规则之内时，则该封包的通过与否，以的设定

为准』，例如：你设定了十条规则，但有一个封包来的时候，这十条规则都不

适用，这个时候此一封包就会依据的规定为准，来决定是否可以通过

啰。通常这个政策在INPUT方面可以定义的比较严格一点，而FORWARD

与OUTPUT则可以订定的松一些！

[root@test/root]#/sbin/iptables[-ttables][-P]

[INPUT,OUTPUT,FORWARD|PREROUTING,OUTPUT,POSTROUTING][ACCEPT,DROP]

参数说明：

-t：定义table！

tables：table的名称，例如nat啰！

-P：定义政策()。

INPUT：封包为输入主机的方向；

OUTPUT：封包为输出主机的方向；

FORWARD：封包为不进入主机而向外再传输出去的方向；

PREROUTING：在进入路由之前进行的工作；

OUTPUT：封包为输出主机的方向；

POSTROUTING：在进入路由进行的工作。

范例：

[root@test/root]#/sbin/iptables-PINPUTACCEPT

[root@test/root]#/sbin/iptables-POUTPUTACCEPT

[root@test/root]#/sbin/iptables-PFORWARDACCEPT

[root@test/root]#/sbin/iptables-tnat-PPREROUTINGACCEPT

[root@test/root]#/sbin/iptables-tnat-POUTPUTACCEPT

[root@test/root]#/sbin/iptables-tnat-P