对于 Internet 上的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙
并不能保证系统 100%安全,但却是绝对必要的。Linux 提供了一个非常优秀的防火墙工具—netlter/
iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低
配置机器上很好地运行。本文将简单介绍使用 netlter/iptables 实现防火墙架设和 Internet 连接共享等
应用。
netlter/iptabels 应用程序,被认为是 Linux 中实现包过滤功能的第四代应用程序。netlter/iptables
包含在 2.4 以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。netlter
工作在内核内部,而 iptables 则是让用户定义规则集的表结构。netlter/iptables 从 ipchains 和
ipwadfm(IP 防火墙管理)演化而来,功能更加强大。下文将 netlter/iptabels 统一称为 iptables。
可以用 iptables 为 Unix、Linux 和 BSD 个人工作站创建一个防火墙,也可以为一个子网创建防火墙以
保护其它的系统平台。iptales 只读取数据包头,不会给信息流增加负担,也无需进行验证。要想获得更
好的安全性,可以将其和一个代理服务器(比如 squid)相结合。
基本概念
典型的防火墙设置有两个网卡:一个流入,一个流出。iptables 读取流入和流出数据包的报头,将它们
与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可
以丢弃或按照所定义的方式来处理。
通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,
规则控制信息包的过滤。通过使用 iptables 系统提供的特殊命令 iptables 建立这些规则,并将其添加到
内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:
iptables [-t table] command [match] [target]
1.表(table)
[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤
表。有三个可用的表选项:lter、nat 和 mangle。该选项不是必需的,如果未指定,则 lter 作为缺省
表。各表实现的功能如表 1 所示。
表 1 三种表实现的功能
,,,,,,,,,,, <!--[if !vml]-->2.命令(command)
command 部分是 iptables 命令最重要的部分。它告诉 iptables 命令要做什么,例如插入规则、将规则
添加到链的末尾或删除规则。表 2 是最常用的一些命令及例子。
评论0
最新资源