当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 整理一下笔记 for iptables

Unix/Linux
linux查看内存的大小
在linux下写的代码,用的是utf-8,结果拿到XP下运行的时候,所有的中文都成乱码
linux su和sudo命令的区别
linux cron 下的定时执行工具使用技巧
linux 查找进程及终止进程操作的相关命令
redhat linux 安装 gcc编译器
Linux Mplayer播放各种格式的电影
一起回顾一下linux常用命令
Linux 网站项目发布要做哪些配置
linux SSH配合SecureCRT的密匙完美使用方法
GD 编译出错解决方法
Facebook Open Platform编译FAQ
Linux 系统硬盘 优化
linux 挂载详解
linux crontab定时命令
Linux 系统中确保访问三级域名畅通的方法
Linux 特权帐号VS普通帐号
确保Linux系统安全的前提条件 漏洞防护
Linux 监视系统资源使用率
Red Hat Linux上使用BIND建立DNS服务器

Unix/Linux 中的 整理一下笔记 for iptables


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 36 ::
收藏到网摘: n/a

echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -F -t nat iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.2/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -A INPUT –j ACCEPT iptables -A OUTPUT -j ACCEPT iptables -A FORWARD -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.106/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.3/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.5/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.7/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.101/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.122/16 -j MASQUERADE 再就是流量限制,回家看看以前的笔记。
http://bbs.chinaunix.net/forum/38/050528/552404.html
基本概念 典型的防火墙设置有两个网卡:一个流入,一个流出。iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下: iptables [-t table] command [match] [target] 1.表(table) [-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项:filter、nat和mangle。该选项不是必需的,如果未指定,则filter作为缺省表。各表实现的功能如表1所示。 表1 三种表实现的功能 http://tech.ccidnet.com/pub/attachment/2004/3/278843.jpg 2.命令(command) command部分是iptables命令最重要的部分。它告诉iptables命令要做什么,例如插入规则、将规则添加到链的末尾或删除规则。表2是最常用的一些命令及例子。 表2 命令的功能和样例 http://tech.ccidnet.com/pub/attachment/2004/3/278844.jpg 3.匹配(match) iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。匹配分为通用匹配和特定于协议的匹配两大类。这里将介绍可用于采用任何协议的信息包的通用匹配。表3是一些重要且常用的通用匹配及示例说明。 表3 通用匹配及示例说明 http://tech.ccidnet.com/pub/attachment/2004/3/278845.jpg 4.目标(target) 目标是由规则指定的操作,对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。表4是常用的一些目标及示例说明。 除表4外,还有许多用于建立高级规则的其它目标,如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。 表4 目标及示例说明 http://tech.ccidnet.com/pub/attachment/2004/3/278846.jpg应用iptables 与ipchains和ipfwadm不同的是,iptables可以配置有状态的防火墙。iptables可以检测到源地址和目的地址、源端口和目的端口及流入数据包的顺序,即iptables记住了在现有连接中,哪些数据包已经被允许接收。这使得暂时性的端口只有在需要时才会被打开,并且会拒绝所有永久性占用端口的请求,大大地加强了安全性。同时,那些被更改了报头的数据包,即使包含有一个被允许的目的地址和端口,也会被检测到并被丢弃。此外,有状态的防火墙能够指定并记住为发送或接收信息包所建立连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。 1.启动和停止iptables 下面将正式使用iptables来创建防火墙。启动和停止iptables的方法取决于所使用的Linux发行版,可以先查看所使用Linux版本的文档。 一般情况下,iptables已经包含在Linux发行版中,运行iptables --version来查看系统是否安装了iptables。在Red Hat 9.0中,安装的版本是iptables v1.2.7a。如果系统没有安装iptables,则可以从http://www.netfilter.org下载。 2.查看规则集 上面仅对iptables的用法做了一个简单介绍,使用中可以运行man iptables来查看所有命令和选项的完整介绍,或者运行iptables -help来查看一个快速帮助。要查看系统中现有的iptables规划集,可以运行以下命令: iptables --list 下面是没有定义规划时iptables的样子: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 如上例所示,每一个数据包都要通过三个内建的链(INPUT、OUTPUT和FORWARD)中的一个。 filter是最常用的表,在filter表中最常用的三个目标是ACCEPT、DROP和R