NetFilter/iptables防火墙设置(上)

80酷酷网    80kuku.com

  

  大多数主要的Linux发行商,包括SuSE,在防火墙设置方面都有某些独特的用户接口特征。他们这样并没有错,但是这样我就无法直接得到最想要的配置,所以只好自己手动设置。Iptable man页面完全是个依照iptable命令行句法的文件,它不提供关于将不同规则的防火墙结合起来的指导说明。你可以搜索到许多零散的关于iptables的信息,但是这些都不足以教会我想要弄明白的东西。最后我用运行着SuSE Linux Pro10.0 的一个Vmware虚拟机终于弄清楚了到底应该怎样做。下面就是用iptables配置的简单防火墙的文档。请读者验证如此配置的防火墙是否足以保护相应的主机。

  尽管很难操作,iptables/NetFilter却难以置信的棒。它们的功能广泛并且配置方法很直接。如果发行商的产品带有自己的防火墙特征,而你觉得它没有满足你的全部要求的话,你就会体会到iptables的这个优点了。

  SuSE防火墙配置和相应的脚本都使用了多种用户组规则。我的目的就是展示一个简单的防火墙范例,它只有一个默认的瀑布型组规则。我发现合成得到的防火墙配置脚本更容易理解,并且更容易表达出我的意图。

  iptables/NetFilter原理

  NetFilter是一组核心元件,实际上是它在执行防火墙规则。Iptables是用来定义和插入这些规则的程序。从这点来看,我可以我可以用iptables来指代NetFilter。

  Iptables配置要求规定一个“表”,一个“链”以及规则细节。链就是一组规则。这些在一个链中的规则在由链本身以及一个“表”来共同定义的环境中应用。表就是一组链。表定义了全局环境,而链定义表内的本地环境。最简单的例子就是运行防火墙的主机。它能接受数据包(输入)并且发送数据包(输出)。假设我们想要过滤进出主机的传输,全局环境(表)就是“过滤器”,本地环境(那些链)就是“输入”和“输出”。Linux主机也可以当作路由器来使用来转发数据包。因此,过滤器表也有“转发”链。



分享到
  • 微信分享
  • 新浪微博
  • QQ好友
  • QQ空间
点击: