1.4<<<<iptables 的启动和关闭
在 Redhat Linux 上,由于历史的原因,ipchains 和 iptables 是并存的(ipchains 是在 kerenl 版本 2.4.x 以前的
包过滤防火墙系统),因此 ipchains 和 iptables 同时运行是不允许的,我们首先要将 ipchains 的服务停掉:
#/sbin/chkconfig –level 123456 ipchains off
#/sbin/service ipchains stop
当然,既然不使用 ipchains 了,我们也可以将 ipchains 从系统中移除,使用命令:
#rpm –e ipchains
第二步是启动 Iptables 的服务
#/sbin/chkconfig –level 345 iptables on
#/sbin/service iptables start
chkconfig 命令表示在系统启动时,ipchains 或 iptables 在相应启动级别的缺省设置,如果是 off,则代表系
统启动时不启动 ipchains 或 iptables 服务。反之,则启动。
1.5<<<<iptables 的工作原理和基础架构
iptables 被分为两部分,一部分被称为核心空间,另一部分称为用户空间,在核心空间,iptables 从底层实
现了数据包过滤的各种功能,比如 NAT、状态检测以及高级的数据包的匹配策略等,在用户空间 ,
iptables 为用户提供了控制核心空间工作状态的命令集。无论如何,一个数据包都会经过下图所示的路径 ,
并在其中的任何一条路径中被处理。
首先,当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决ÝÝÝÝÝÝ定包的目标。如
果目标主机就是本机,则如下图直接进入 INPUT 链,再由本地正在等待该包的进程接收,否则,如果从
以太网卡进来的包目标不是本机,再看是否内核允许转发包(可用 echo 1 > /proc/sys/net/ipv4/ip_forward 打
开转发功能如果不允许转发,则包被 DROP 掉,如果允许转发,则送出本机,这当中决不经过 INPUT 或
者 OUTPUT 链,因为路由后的目标不是本机,只被转发规则应用,最后,该 linux 防火墙主机本身能够产
生包,这种包只经过 OUTPUT 链被送出防火墙。
现在,我们来讨论为什么 iptables 叫 iptables,这句话挺别扭是吗?但 iptables 的名字起的确实如其名,我
们可以叫它 ip 表,在 iptables 中共有三类表,分别是 mangle、nat 和 filter。
mangle 表从目前来看,他的作用对于满足常规的防火墙应用作用不大,我们在这里不进行具体的描述。
评论0
最新资源