防火墙与Linux代理服务器培训教程VIP免费

第1页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共34页防火墙与Linux代理服务器Linux提供了一个非常优秀的防火墙工具netfilter/iptables，它免费、功能强大，可以对流入流出的信息进行灵活控制，并且可以在一台低配置机器上很好地运行。一、netfilter/iptables简介Linux在2.4以后的内核中包含netfilter/iptables，系统这种内置的IP数据包过滤了具使得配置防火墙和数据包过滤变得更加容易，使用户可以完全控制防火墙配置和数据包过滤。netfiher/iptables允许为防火墙建立可定制的规则第2页共34页第1页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共34页来控制数据包过滤，并且还允许配置有状态的防火墙。另外，netfiher/iptables还可以实现NAT(网络地址转换)和数据包的分割等功能。netfilter组件也称为内核空间，是内核的一部分，由一些数据包过滤表组成，这些表包含内核，用来控制数据包过滤处理的规则集。iptables组件是一种工具，也称为用户空间，它使插入、修改和删除数据包过滤表中的规则变得容易。使用用户空间(iptables)构建自己定制的规则，这些规则存储在内核空间的过滤表中。这些规则中的目标告诉内核，对满足条件的数据包采取相应的措施。根据规则处理数据包的类型，将规则添加到不同的链中。处理入站数据包的规则被添加到INPUT链中。处理出站数据包的规则被添加到OUTPUT链中。处理正在转发的数据包的规则被添加到FORWARD链中。这二个链是数据包过滤表(filter)中内置的默认主规则链。每个链都可以有一个策略，即要执行的默认操作，当数据包与链中的所有规则都不第3页共34页第2页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共34页匹配时，将执行此操作(理想的策略应该丢弃该数据包)。数据包经过filter表的过程如图1所示。图1数据包经过fiher表的过程二、iptables的语法及其使用通过使用iptables命令建立过滤规则，并将这些规则添加到内核空间过滤表内的链中。添加、删除和修改规则的命令语法如下：格式：#iptables[-ttable]command[match][target]说明：1、table[-ttable)有三种可用的表选项:filter、nat和mansle。该选项不是必需的，如第4页共34页第3页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第4页共34页未指定，则filter作为默认表。filter表用于一般的数据包过滤，包含INPUT、OUTPUT和FORWARD链。nat表用于要转发的数据包，包含PREROUTING、OUTPUT和POSTROUTING链。manglc表用于数据包及其头部的更改，包含PREROUTING和OUTPUT链。2．commandcommand是iptables命令中最重要的部分，它告诉itables命令要进行的操作，如插入规则、删除规则、将规则添加到链尾等。中tables常用的一些操作命令见下表。表iptables常用的操作命令操作命令功能-A或-append该命令将一条规则附加到链的末尾-D或-delete通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则第5页共34页第4页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第5页共34页-P或-policy该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的数据包都将被强制使用此链的策略-N或-new-chain用命令中所指定的名称创建一个新链-F或-flush如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。此参数用于快速清除-L或-list列出指定链中的所有规则示例：#iptables-AINPUT-s192.168.0.10-jACCEPT该命令将一条规则附加到INPUT链的末尾，确定来自源地址192.168.0.10的数据包可以ACCEPT。#iptables-DINPUT-dport80-jDROP该命令从INPUT链删除规则。#iptables-PINPUTDROP第6页共34页第5页共34页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第6页共34页该命令将INPUT链的默认目标指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。3．matchmateh部分指定数据包与规则匹配所应具有的特征，比如源IP地址、目的IP地址、协议等。lptables常用的规则匹配器见下表。表iptab]es常用的...