Linux安全网 - Linux操作系统_Linux 命令_Linux教程_Linux黑客

会员投稿 投稿指南 本期推荐: 强烈推荐:Ylmf OS 3.0 正式版发布附迅雷高 XP系统下硬盘安装Fedora 14图文教程
搜索:
您的位置: Linux安全网 > Linux入门 > » 正文

Understanding iptables for linux(firewall)

来源: ting2junshui 分享至:

 iptables(Unix-like 下的firewall

關鍵字:Netfilter、 Nat、 filter、 mangle、 PERROUTING、 POSTROUTING、 INPUT/ OUTPUT、 FORWARD、 

具體學習iptables之前,我們首先要瞭解到filter,nat,mangle三張表格,和三張表格裏面的各個chains。

filter表有INPUT、OUTPUT、FORWARD。三條chains。其具體的功能還是請man

nat表有PERROUTING(包進入)、 POSTROUTING(包出去)、 OUTPUT三條chains。其具體的功能依舊man

mangle表有PERROUTING、 OUTPUT、 INPUT、 FORWARD、 POSTROUTING三條chains。其具體的功能forever man。^ -- ^

man後的結果在-t選項出還有raw表格,man給出的原文是:This  table  is  used mainly for configuring exemptions from connection tracking in combination with the NOTRACK  target. It registers at the netfilter hooks with higher priority and is thus called before ip_conntrack, or any other IP  tables. It  provides  the following built-in chains: PREROUTING (for packets arriving via  any  network  interface)  OUTPUT  (for packets generated by local processes)。

這個表和表裏面各條chains有很大的關聯,謹請認真熟悉。

具體的還是iptables的各個參數。具體的參數有很多,還是請認真閱讀man手冊頁。

常用到的參數及具體的功能如下:

-A:追加一條規則。

-I:插入一條規則,如沒制定該規則的number,則變成第一條。有INPUT、OUTPUT、FORWARD,此chain又與-io有關。

-t:table,eg:nat/filter

-L:list,具體table的rule。

-n:不進行ip到hostname的查詢。

-v:更多的信息

使用查詢後得到的信息解釋,如下:

target:所進行的動作,具體有ACCEPT(放行),REJECT(拒絕),DROP(丟棄)

prot:使用的packets protocol,有ICMP, TCP, UDP。

opt:額外的選項說明。

source:源地址

destination:目標地址。

-F:清除(flush)所有的已定的規則

-X:刪除所有自訂的chain或tables

-Z:將所有的chain計數歸零

-P:制定Policy , target包含ACCEPT、DROP

-i:進入的那個network interface

-o:出去的那個network interface

-p:協議,封包的包格式,主要有TCP,UDP,IMCP,ALL

-s:源IP地址或網域,若非該IP地址則在ip地址前加!(感嘆號)

-d:同源IP地址格式對應,不過這是目標地址

-j:接的動作,主要的有ACCEPT(接受)、DROP(丟棄)、REJECT(拒絕)、LOG(記錄)。前面三個都瞭解後,這個LOG的意思就是從源地址進來的packets相關的信息就記錄在/var/log/messages這個日誌文件中。

--sport:後接端口或端口範圍,限制來源的端口。

--dport:格式同上,限制目標的端口。

TCP特殊的標誌SYN:主動的TCP連接標誌。

iptables的外接module

-m:接外接module,常見的外接module有:state、mac

--mac-source:就是源主機的MAC

--state:一些packets的狀態,主要有:INVALID、ESTABLISHED、NEW、RELATED

INVALID:無效的packets

ESTABLISHED:已經連接成功的連接狀態

NEW:想要建立新的連接packets狀態

RELATED:表示packets是與本機發出去的packets有關。

--icmp-type:後面必須接icmp包類型,也可用類型代號。

-j DNAT --to-destination IP:port :端口映射。

-j REDIRECT --to-port <port number>:同樣也是端口映射。

在工作日上用了兩天終於完成了該IPTABLES的學習。我看了看man的手冊頁,發現還有很多很多的參數,沒有講到比如:-D刪除一條規則,-C更改一條規則,--line-numbers獲得iptables規則的規則編碼,等等。更多的選項還是man更詳盡。


Tags:
分享至:
最新图文资讯
1 2 3 4 5 6
验证码:点击我更换图片 理智评论文明上网,拒绝恶意谩骂 用户名:
关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 发展历史