📄 计算机世界网-使用iptables轻松建立防火墙.htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0050)http://www.ccw.com.cn/htm/app/salon/01_11_22_2.asp -->
<HTML><HEAD><TITLE>计算机世界网-使用iptables轻松建立防火墙</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE>.a1 {
FONT-SIZE: 1px
}
</STYLE>
<STYLE>.a14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
.f {
FONT-SIZE: 18px; COLOR: #0f3ccd
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=2>
<CENTER>
<STYLE>.v12 {
FONT-WEIGHT: bold; FONT-SIZE: 10pt; COLOR: #ffffff
}
.v14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
SELECT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<STYLE>.v13 {
FONT-WEIGHT: bold; FONT-SIZE: 10pt; COLOR: #ffffff
}
.v12 {
FONT-WEIGHT: bold; FONT-SIZE: 13px; COLOR: #4c029c
}
.v14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
SELECT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<!--头-->
<TABLE cellSpacing=0 cellPadding=0 width=767 align=center border=0>
<TBODY>
<TR>
<TD vAlign=bottom>
<TABLE cellSpacing=0 cellPadding=0 border=0>
<TBODY>
<TR>
<TD vAlign=top><IMG
src="计算机世界网-使用iptables轻松建立防火墙.files/ccwlogo.gif"></TD></TR>
<TR>
<TD vAlign=top height=27><IMG height=27
src="计算机世界网-使用iptables轻松建立防火墙.files/knowledge.gif"
width=207></TD></TR></TBODY></TABLE></TD>
<TD vAlign=bottom width=556 bgColor=#4c029c height=96>
<TABLE height=96 cellSpacing=0 cellPadding=0 width=556 bgColor=#4c029c
border=0>
<TBODY>
<TR>
<TD vAlign=bottom bgColor=#ffffff colSpan=2 height=25><IMG
src="计算机世界网-使用iptables轻松建立防火墙.files/top.gif" useMap=#F></TD></TR>
<TR vAlign=center>
<TD vAlign=center align=middle height=60><!-- <a href="/search/" target=_blank><img src="/img2/esearch.GIF" border=0 width=468 height=60></a> --><A
href="http://www.ccw.com.cn/html/search/thememail/"
target=_blank><IMG height=60
src="计算机世界网-使用iptables轻松建立防火墙.files/topbanner_thememail.gif"
width=468 border=0></A> </TD>
<TD align=middle width="15%">
<TABLE width="95%">
<TBODY>
<TR>
<TD><A href="mailto:center@ccw.com.cn?subject=我要投稿:"
target=_blank><FONT class=v13>我要投稿</A><BR><A
href="mailto:center@ccw.com.cn?subject=编读往来"><FONT
class=v13>编读往来</A><BR><A
href="javascript:AddBookMark('计算机世界网首页')"><FONT
class=v13>加入收藏</A></FONT></FONT></FONT></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD bgColor=#ffffff colSpan=2 height=1></TD></TR>
<TR>
<TD bgColor=#b4aafc colSpan=2 height=2></TD></TR></TBODY></TABLE><MAP
name=F><AREA shape=RECT target=_blank coords=29,3,61,18
href="http://www.ccw.com.cn/"><AREA shape=RECT target=_blank
coords=72,3,143,18 href="http://www.ccw.com.cn/news1/"><AREA shape=RECT
target=_blank coords=155,2,216,18
href="http://www.ccw.com.cn/center/"><AREA shape=RECT target=_blank
coords=225,2,299,18 href="http://www.ccw.com.cn/work/"><AREA shape=RECT
target=_blank coords=310,3,364,19
href="http://www.ccw.com.cn/search/"><AREA shape=RECT target=_blank
coords=372,2,412,19 href="http://www3.ccw.com.cn/"><AREA shape=RECT
target=_blank coords=424,2,550,18
href="http://www2.ccw.com.cn/"></MAP></TD></TR>
<TR>
<TD bgColor=#b4aafc colSpan=2>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD align=middle width="26%"><FONT
class=v12>【2004年3月8日】 </FONT></TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/topic.asp">专
题</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/tech.asp">技
术</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/prod.asp">产
品</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/app.asp">应
用</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/net.asp">网
络</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/prog.asp">编
程</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/skill.asp">技
巧</A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
<TABLE width=728 align=center>
<TBODY>
<TR>
<TD align=middle><BR>
<H2><FONT color=#0f3ccd>使用iptables轻松建立防火墙</FONT></H2><BR><B>伊利贵</B> </TD></TR>
<TR>
<TD align=right>01-11-22 下午 01:29:41<BR>
<HR width=718 color=#f46240 SIZE=1>
</TD></TR></TBODY></TABLE><BR>
<TABLE width=728 align=center>
<TBODY>
<TR>
<TD vAlign=top width=600>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>在Internet上,不同变种蠕虫的横行使得众多的受害者叫苦不迭。而作为Linux用户,这时心里自然要踏实得多,因为,这些变种的攻击对象主要是基于Windows的机器。但是Linux用户也非完全幸免,比如Nimda病毒就会影响到Linux用户。如果在子网内部有Windows
98、NT和2000这些易被感染的机器,那么它们感染上Nimda后,就会吞噬大量的带宽,从而影响到同一子网中的Linux机器。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>要解决这些问题,我们可以通过修改防火墙规则来避免这种影响。下面的例子不是为你创建起一个非常完美的防火墙,但可以提醒系统管理员的注意,以使自己的系统免遭一些非常明显的攻击。本例要求使用2.4以上的内核。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>
<P align=center><B><FONT
size=4>为什么要使用2.4内核和iptables?</FONT></B></P></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>Iptabels(NetFilter)应用程序,被认为是Linux中实现包过虑功能的第四代应用程序。第一代是Linux
内核1.1版本所使用的Alan Cox从BSD UNIX中移植过来的ipfw。在2.0版的内核中,Jos
Vos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具。在2.2版内核中, Russell和Michael
Neuling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用户控制过虑规则的ipchains工具。现在,Russell又完成了其名为NetFilter的内核框架。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>NetFilter的目的是为用户提供一个专门用于包过滤的底层结构,并且用户和开发人员可以将其内建在Linux内核中。Iptables是一个内建在NetFilter框架中的模块,它可以让用户访问内核过滤规则和命令。如果你了解ipchains,你就会发现,事实上iptables和ipchains非常的相似。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>在Linux
2.2内核中,一般使用ipchains应用程序来控制防火墙(参见我发表于中国计算机世界网上的文章:http://www.ccw.com.cn/htm/app/linux/admin/01_8_31_2.asp)。作为一个标准的防火墙,使用ipchains的确是一个非常不错的办法。并且它也是我们现在比较常用的一种方法,事实上,和2.4内核相比,使用基于2.2内核的机器来创建防火墙有它自己的优点,因为2.4内核在高负载的情况下会出现一些稳定性方面的问题。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>当然,虽然有缺点,但2.4内核却是提供了很多功能强大的网络功能,而这一点2.2内核相对来说比较欠缺。这其中就包括非常完整的防火墙和稳定、高性能的服务选项。使用2.4内核和iptables的防火墙代码,我们甚至可以建立起一个可以CheckPoint相媲美的、复杂的防火墙。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>
<P align=center><B><FONT
size=4>使用iptables</FONT></B></P></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>要执行iptables命令非常的简单,我们只需以root的身份登录,然后输入iptables,就会得到和以下类似的信息:</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>[root@jd root]# /sbin/iptables</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>iptables v1.2.1: no command
specified</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>Try `iptables -h' or 'iptables --help' for more
information</TD></TR></TBODY></TABLE>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -