📄 netfilter-iptables 简介.htm
字号:
<TR vAlign=top>
<TD bgColor=#000000 colSpan=5><IMG height=1 alt=""
src="netfilter-iptables 简介.files/c.gif" width=100 border=0></TD></TR>
<TR vAlign=top>
<TD bgColor=#ffffff colSpan=5><IMG height=8 alt=""
src="netfilter-iptables 简介.files/c.gif" width=100
border=0></TD></TR></TBODY></TABLE><!-- END HEADER AREA and START BODY AREA-->
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR vAlign=top><!-- LEFT GUTTER-->
<TD width=5><IMG height=1 alt="" src="netfilter-iptables 简介.files/c.gif"
width=5 border=0></TD><!-- START CENTER COLUMN-->
<TD width="100%">
<TABLE cellSpacing=0 cellPadding=0 width=168 align=right border=0>
<TBODY>
<TR><!-- Sidebar Gutter-->
<TD width=8><IMG height=21 alt=""
src="netfilter-iptables 简介.files/c.gif" width=5></TD>
<TD width=160><!-- Start TOC-->
<TABLE cellSpacing=0 cellPadding=0 width=160 border=0>
<TBODY>
<TR>
<TD width=160 bgColor=#000000 height=1><IMG height=1 alt=""
src="netfilter-iptables 简介.files/c.gif" width=160></TD></TR>
<TR>
<TD align=middle
background="netfilter-iptables 简介.files/bg-gold.gif"
height=5><B>内容:</B></TD></TR>
<TR>
<TD width=160 bgColor=#666666 height=1><IMG height=1 alt=""
src="netfilter-iptables 简介.files/c.gif" width=160></TD></TR>
<TR>
<TD align=right>
<TABLE cellSpacing=0 cellPadding=3 width="98%" border=0>
<TBODY>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#intro_iptables">Linux
安全性和 netfilter/iptables</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#understand_fc_pf">理解防火墙配置和信息包过滤</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#need_for_fc">为什么要配置自己的防火墙?</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#iptables_working">netfilter/iptables
系统是如何工作的?</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#install_iptables">安装
netfilter/iptables 系统</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#build_rule_chain">建立规则和链</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#advantage">netfilter/iptables
系统的优点</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#conclusion">结束语</A></TD></TR><!--Standard links for every article-->
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#resources">参考资料</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#author1">关于作者</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#rating">对本文的评价</A></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE><!-- End TOC--><!-- Start Related Content Area--><!-- <table border="0" cellpadding="0" cellspacing="0" width="160"><tr><td bgcolor="#000000" height="1" width="160"><img alt="" height="1" src="/developerWorks/cn/i/c.gif" width="160" /></td></tr><tr><td align="center" background="/developerWorks/cn/i/bg-gold.gif" height="5"><b>相关内容:</b></td></tr><tr><td bgcolor="#666666" height="1" width="160"><img alt="" height="1" src="/developerWorks/cn/i/c.gif" width="160" /></td></tr><tr><td align="right"><table border="0" cellpadding="3" cellspacing="0" width="98%"><tr><td><a href="#1">介绍</a></td></tr><tr><td><a href="#1">介绍</a></td></tr></table></td></tr></table>--><!-- End TOC--><!-- Start Related Content Area-->
<TABLE cellSpacing=0 cellPadding=0 width=160 border=0>
<TBODY>
<TR>
<TD width=160 bgColor=#000000 height=1><IMG height=1 alt=""
src="netfilter-iptables 简介.files/c.gif" width=160></TD></TR>
<TR>
<TD align=middle
background="netfilter-iptables 简介.files/bg-gold.gif"
height=5><A class=nav
href="http://www-900.ibm.com/developerWorks/cn/linux/index.shtml"><B>在
Linux 专区还有:</B></A></TD></TR>
<TR>
<TD width=160 bgColor=#666666 height=1><IMG height=1 alt=""
src="netfilter-iptables 简介.files/c.gif" width=160></TD></TR>
<TR>
<TD align=right>
<TABLE cellSpacing=0 cellPadding=3 width="98%" border=0>
<TBODY>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/cnedu.nsf/linux-onlinecourse-bytitle?OpenView&Count=500">教程</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/cntools.nsf/dw/linux-codelib-byname?OpenDocument&Count=500">工具与产品</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/cntools.nsf/dw/linux-projects-byname?OpenDocument&Count=500">代码与组件</A></TD></TR>
<TR>
<TD><A
href="http://www-900.ibm.com/developerWorks/cn/cnpapers.nsf/linux-papers-bynewest?OpenView&Count=500">文章</A></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE><!-- End Related dW Content Area-->
<TABLE cellSpacing=0 cellPadding=0 width=160 border=0>
<TBODY>
<TR>
<TD width=150 bgColor=#000000 colSpan=2 height=2><IMG height=2
alt="" src="netfilter-iptables 简介.files/c.gif"
width=160></TD></TR>
<TR>
<TD width=150 bgColor=#ffffff colSpan=2 height=2><IMG height=2
alt="" src="netfilter-iptables 简介.files/c.gif"
width=160></TD></TR></TBODY></TABLE><!-- END STANDARD SIDEBAR AREA--></TD></TR></TBODY></TABLE><!-- START SUBTITLE AND CONTENT--><SPAN
class=atitle2>使用 netfilter/iptables 为 Linux(内核 2.4.x)配置防火墙</SPAN><BR>
<P><A
href="http://www-900.ibm.com/developerWorks/cn/linux/network/s-netip/index.shtml#author1">Mugdha
Vairagade</A>(<A
href="mailto:vmugdha@indiatimes.com">vmugdha@indiatimes.com</A>)<BR>独立开发人员<BR>2002
年 9 月</P>
<BLOCKQUOTE><I>netfilter/iptables</I> 是与最新的 2.4.x 版本 Linux 内核集成的 IP
信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,则该系统有利于在 Linux
系统上更好地控制 IP 信息包过滤和防火墙配置。Mugdha Vairagade 将介绍 netfilter/iptables
系统、它是如何工作的、它的优点、安装和配置以及如何使用它来配置 Linux 系统上的防火墙以过滤 IP 信息包。</BLOCKQUOTE>
<P><B>注:</B>至少具备 Linux OS 的中级水平知识,以及配置 Linux 内核的经验,将有助于对本文的理解。</P>
<P>对于本文,我们将使用 iptables 用户空间工具版本 1.2.6a 和内核版本 2.4.9。</P>
<P><A name=intro_iptables><SPAN class=atitle2>Linux 安全性和
netfilter/iptables</SPAN></A><BR>Linux 因其健壮性、可靠性、灵活性以及好象无限范围的可定制性而在 IT
业界变得非常受欢迎。Linux 具有许多内置的能力,使开发人员可以根据自己的需要定制其工具、行为和外观,而无需昂贵的第三方工具。如果 Linux
系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,所要用到的一种内置能力就是针对网络上 Linux 系统的防火墙配置。可以在
<I>netfilter/iptables IP 信息包过滤系统</I>(它集成在 2.4.x 版本的 Linux 内核中)的帮助下运用这种能力。
</P>
<P>在如 <I>ipfwadm</I> 和 <I>ipchains</I> 这样的 Linux
信息包过滤解决方案中,netfilter/iptables IP 信息包过滤系统是最新的解决方案,而且也是第一个集成到 Linux
内核的解决方案。对于 Linux 系统管理员、网络管理员以及家庭用户(他们想要根据自己特定的需求来配置防火墙、在防火墙解决方案上节省费用和对 IP
信息包过滤具有完全控制权)来说,netfilter/iptables 系统十分理想。 </P>
<P><A name=understand_fc_pf><SPAN
class=atitle2>理解防火墙配置和信息包过滤</SPAN></A><BR>对于连接到网络上的 Linux
系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。为了确定网络流量是否合法,防火墙依靠它所包含的由网络或系统管理员预定义的一组<I>规则</I>。这些规则告诉防火墙某个流量是否合法以及对于来自某个源、至某个目的地或具有某种协议类型的网络流量要做些什么。术语“配置防火墙”是指添加、修改和除去这些规则。稍后,我将详细讨论这些<I>规则</I>。
</P>
<P>网络流量由 IP 信息包(或,简称<I>信息包</I>)— 以流的形式从源系统传输到目的地系统的一些小块数据 —
组成。这些信息包有<I>头</I>,即在每个包前面所附带的一些数据位,它们包含有关信息包的源、目的地和协议类型的信息。防火墙根据一组规则检查这些头,以确定接受哪个信息包以及拒绝哪个信息包。我们将该过程称为<I>信息包过滤</I>。
</P>
<P><A name=need_for_fc><SPAN
class=atitle2>为什么要配置自己的防火墙?</SPAN></A><BR>出于各种因素和原因,需要根据特定需求来配置防火墙。或许,最重要的原因是安全性。
</P>
<P>管理员可能想让他们的防火墙能够阻止未经授权的源访问其 Linux 系统,例如通过
Telnet。他们可能还想限制进出其系统的网络流量,以便只有来自可信源的流量才可以进入其系统,以及只有授权的流量才可以出去。家庭用户可能通过允许所有的出站信息包都可以通过,将防火墙配置成较低的安全性级别。
</P>
<P>另一个背后的原因是,通过阻塞来自类似广告站点之类的源的多余流量,可以节省带宽。 </P>
<P>因而,可以定制防火墙配置来满足任何特定需求和任何安全性级别需求。这就是 netfilter/iptables 系统的用武之处。 </P>
<P><A name=iptables_working><SPAN class=atitle2>netfilter/iptables
系统是如何工作的?</SPAN></A><BR>netfilter/iptables IP
信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在
Linux
内核中。在信息包过滤表中,规则被分组放在我们所谓的<I>链(chain)</I>中。我马上会详细讨论这些规则以及如何建立这些规则并将它们分组在链中。
</P>
<P>虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 <I>netfilter</I> 和
<I>iptables</I> 组成。 </P>
<P>netfilter
组件也称为<I>内核空间(kernelspace)</I>,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
</P>
<P>iptables
组件是一种工具,也称为<I>用户空间(userspace)</I>,它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat
Linux 7.1 或更高版本,否则需要从 netfilter.org 下载该工具并安装使用它。 </P>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -