📄 00000014.htm

📁 一份很好的linux入门资料
💻 HTM
📖 第 1 页 / 共 5 页
字号:
&nbsp;&nbsp;处理规则&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;下一个问题是对特定的链实行特定的处理规则，所谓规则就是对某种确定的链执行特&nbsp;<BR>定的操作。通常对于某个确定的链，我们用“跳转”使它进入另外一个链中，而在一切&nbsp;<BR>跳转的末端，有几个预先定义好的处理规则：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ACCEPT&nbsp;允许这个请求正常通过，这时Linux表现的象一个普通的路由器&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;DENY&nbsp;禁止这个请求通过，这个数据包会就此在网络上消失，表现得如同网络在这里断&nbsp;<BR>开一样&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;RETURN&nbsp;正常情况下，ipchains会依次察看链中所有的规则，所以一个链后面的规则可&nbsp;<BR>以覆盖前面的规则，但是当遇到RETURN规则时，处理链将立即返回，即使下面还有与之&nbsp;<BR>相关的处理选项也会被忽略。这样，RETURN规则将强迫ipchains自动转向下一个链。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;REJECT&nbsp;这个选项跟DENY非常相似，所不同的是它在禁止这个请求的同时可以返回一些&nbsp;<BR>ICMP信息，使得请求者能够知道数据包在何处被禁止。如果客户是windows&nbsp;NT，将会看&nbsp;<BR>到一个“网络不可达”的错误信息。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;REDIRECT&nbsp;这个规则只能用于input或者output链，而且不能用于ICMP协议。它将使得&nbsp;<BR>Linux机器代替定义的目标机器收发信息报文。例如，ipchains&nbsp;–A&nbsp;input&nbsp;–d&nbsp;202.11&nbsp;<BR>2.58.200&nbsp;–j&nbsp;REDIRECT将使得客户机器向202.112.58.200发出的数据包在Linux网关处&nbsp;<BR>直接接受到并且截留下来。REDIRECT后面可以跟上端口号，例如把指向202.112.58.200&nbsp;<BR>的80端口的数据包重定向到网关的9090端口：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;input&nbsp;–d&nbsp;202.112.58.200&nbsp;80&nbsp;–p&nbsp;TCP&nbsp;–j&nbsp;REDIRECT&nbsp;9090&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;MASQ&nbsp;这个规则只能用于forward链，它用于对客户机器进行IP代理。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;使用规则的方法是将它“加入”到某个链中，语法是ipchains&nbsp;–A&nbsp;[链]&nbsp;[地址匹配]&nbsp;<BR>&nbsp;[规则]。例如，可以用ipchains&nbsp;–A指令对forward链建立一条新的规则集：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;forward&nbsp;&nbsp;-s&nbsp;202.112.45.0/24&nbsp;–d&nbsp;13.0.0.0/8&nbsp;–j&nbsp;REJECT&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这条规则禁止了从202.199.45.0到13.0.0.0的所有数据包。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;也可以用规则在链间跳转，例如，我们首先建立一个空链：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–N&nbsp;disable&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;然后将这条链设定为自动跳转到禁止：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;disable&nbsp;–j&nbsp;DENY&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;接下来，我们可以让某些链跳转到这条链：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;input&nbsp;–s&nbsp;202.112.58.0/24&nbsp;–j&nbsp;disable&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;那么效果和下面的指令：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;input&nbsp;–s&nbsp;202.112.58.0/24&nbsp;–j&nbsp;DENY是一样的。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;在不需要某一条规则时，可以将它删除，这可以使用命令ipchains&nbsp;–D。例如，要删&nbsp;<BR>除上面的链规则，使用&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–D&nbsp;forward&nbsp;&nbsp;-s&nbsp;202.112.45.0/24&nbsp;–d&nbsp;13.0.0.0/8&nbsp;–j&nbsp;REJECT&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;如果你要删除某条链中的所有规则，使用ipchains&nbsp;–F:&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–F&nbsp;forward&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这时forward链中所有的规则都被清除。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;如果你不给出链的名字，那么ipchains&nbsp;–F将清除所有链中的规则。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;如果想察看目前链的规则，使用ipchains&nbsp;–L:&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$ipchains&nbsp;-L&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;input&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;forward&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;target&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;prot&nbsp;opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ports&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ACCEPT&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;all&nbsp;&nbsp;------&nbsp;&nbsp;202.199.249.0/24&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;n/a&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;output&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;对链的修改可以使用-R选项，即替换某一条规则，这需要知道规则的序号，例如：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;[root@mail&nbsp;/root]#&nbsp;ipchains&nbsp;-L&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;input&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;forward&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;target&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;prot&nbsp;opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ports&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;DENY&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;all&nbsp;&nbsp;------&nbsp;&nbsp;202.199.249.14&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;n/a&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;output&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;现在forward链中只有一条规则，因此这条规则的序号就是1，现在可以替换这条规则&nbsp;<BR>为：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;-R&nbsp;forward&nbsp;1&nbsp;-s&nbsp;202.199.249.14&nbsp;-d&nbsp;0.0.0.0/0&nbsp;-j&nbsp;ACCEPT&nbsp;<BR>&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;然后可以看到&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;[root@mail&nbsp;/root]#&nbsp;ipchains&nbsp;-L&nbsp;&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;input&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;forward&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;target&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;prot&nbsp;opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ports&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ACCEPT&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;all&nbsp;&nbsp;------&nbsp;&nbsp;202.199.249.14&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;n/a&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;output&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–D指令中也可以直接使用序号，如ipchains&nbsp;–D&nbsp;1。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;通常，加入的新规则会放在已有规则的后面，如果你想要把规则插入到某个特定的位&nbsp;<BR>置，使用ipchains&nbsp;–I&nbsp;[链]&nbsp;[序号]&nbsp;[规则]&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Policy&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;这个词不太合适。ipchains的policy是指对链的缺省行为，例如，刚才的三个链的po&nbsp;<BR>licy都是ACCEPT，表示在对系统的三个缺省链没有定义规则时，所有的包都可以通过。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;要设置Policy，使用ipchains&nbsp;–P指令：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–P&nbsp;forward&nbsp;DENY&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;log&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;可以设置ipchains对符合规则的包的信息进行记录。这可以通过-l选项来实现，例如&nbsp;<BR>，要记录从202.199.249.0/24出发的所有被转发的包的情况，使用：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;forward&nbsp;–s&nbsp;202.199.249.0/24&nbsp;–l&nbsp;–j&nbsp;ACCEPT&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;然后在dmesg中就可以看到核心记录的包的信息了。如果要进一步分析这些信息，需要&nbsp;<BR>将其记录到系统的日志文件中（见系统记账部分）。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;基本上，各种IP过滤型的防火墙都是利用上面解释的各种规则对IP包进行分析和监控&nbsp;<BR>。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;接口&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;用-i选项可以明确地给出链所涉及的网络接口，例如-i&nbsp;eth0代表第一个网络连接，可&nbsp;<BR>以用+号来统配，例如&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains&nbsp;–A&nbsp;input&nbsp;–p&nbsp;ICMP&nbsp;–s&nbsp;0.0.0.0/0&nbsp;–d&nbsp;202.199.248.11&nbsp;–i&nbsp;eth0&nbsp;–j&nbsp;&nbsp;<BR>DENY&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;关闭了通过eth0网络接口的ping回应。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;当-i选项用于input和output链的时候，其意义是很简单的，如果用于forward链，那&nbsp;<BR>么它给出的是转发的目标接口。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;保存和恢复链规则&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;在一个复杂的ipchains防火墙系统中，可能有许多规则。每次重新启动，这些规则都&nbsp;<BR>必须被重新启动。原则上，可以在系统启动脚本中直接写入相应的规则，不过实践中，&nbsp;<BR>我们一般采用首先测试规则是否正确的方法，在确定规则正确之后，使用ipchains-sav&nbsp;<BR>e和ipchains-restore命令完成链规则的保存和读入。&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;例如，我们已经有了下面形式的链：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$ipchains&nbsp;-L&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;input&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;forward&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;target&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;prot&nbsp;opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ports&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ACCEPT&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;all&nbsp;&nbsp;------&nbsp;&nbsp;202.199.249.0/24&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;anywhere&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;n/a&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Chain&nbsp;output&nbsp;(policy&nbsp;ACCEPT):&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;那么，可以使用ipchains-save命令将现在的链设置保存起来：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$ipchains-save&nbsp;&gt;&nbsp;mychains&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;Saving&nbsp;`forward'.&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;ipchains-save缺省的情况下在标准输出送出信息，所以要使用重定向的办法，现在m&nbsp;<BR>ychains文件中就包含我们的链的所有规则：&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;$cat&nbsp;mychains&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;:input&nbsp;ACCEPT&nbsp;<BR>&nbsp;&nbsp;&nbsp;<BR>&nbsp;&nbsp;:forward&nbsp;ACCEPT&nbsp;<BR>
⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -