1、防火牆的介紹
目前操作系統上一般都自帶防火牆技術.對於防火牆,其實就是一種數據包的過濾器,取其精華,棄其糟粕。數據包的過濾級別由戶自己設定的。一般情況下對數據包的限制是對進入本系統的數據包進行過濾。我們可以拒絕所有的包,也可以拒絕某個ip甚至是某個端口上的數據包。
2、防火牆的配置
對於防火牆的配置主要是配置linux系統中的過濾表(filter),並對filter中設置過濾規則鏈。一般情況下有三條預設過濾規則鏈:進(INPUT)、出(OUTPUT)、轉發(FORWORD).對於每一項的永久設置可以配置/etc/sysconfig/iptables 或者執行 /etc/rc.d/init.d/iptables save 後執行 service iptables restart (重啓)來將配置的文件永久生效。
2.1、 查看本機防火牆的情況:啓動和未啓動狀態
命令: iptables -L -n
2.2、防火牆過濾表的建立
防火牆有三種表,一張是filter(默認),一張nat表格, 另外一張是mangle。
iptables -t nat | mangle
filter的規則鏈有INPUT/OUTPUT/FORWARD 操作有: -j ACCEPT / DROP.
nat的規則鏈:
POSTROUTING鏈在包就要離開防火牆之前改變其源地址.操作 -j SNAT DNAT MASQUERADE
mangle的規則鏈:
這個表有五個內建的鏈: PREROUTING,POSTROUTING, OUTPUT,INPUT和 FORWARD。
PREROUTING在包進入防火牆之後、路由判斷之前改變包,POSTROUTING是在所有路由判斷之後.
OUTPUT在確定包的目的之前更改數據包。
INPUT在包被路由到本地之後,但在用戶空間的程序看到它之前改變包
注意,mangle表不能做任何 NAT,它只是改變數據包的TTL,TOS或MARK,而不是其源目的地址。NAT是在nat表中操作的,以下是mangle表中僅有的幾種操作:-j TOS TTL MARK
2.3、預設規則的建立和清除過濾規則鏈:
建立: iptables -p 協議(INPUT | OUTPUT | FORWORT ) DROP | ACCEPT
清除: iptables -F 清除所有的過濾規則鏈
iptables -X 清除用戶自定義的過濾規則鏈.
2.3、規則鏈的建立和刪除
建立: iptables -A [INPUT| OUTPUT |FORWORD]在哪個裏面增加規則鏈
刪除: iptables -D [INPUT| OUTPUT |FORWORD]在哪個裏面刪除規則鏈
建立規則鏈的常用參數 -p 協議類型 tcp
-j 執行的操作 ACCEPT DROP
-s 源IP/掩碼
-d 目的ip/掩碼
--sport 源端口號
--dport 目的端口號
例如建立一條轉發的規則鏈:
iptables -A FORWARD -s 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 218.18.103.114 --dport 80 -j DNAT --to 192.168.10.100:80
上面命令的意思是:
例如:
現網關的外網IP地址是218.18.103.114
內網的網段是192.168.10.0
內網中有一臺WEB服務器,IP地址是:192.168.10.110
現要讓別人通過外網可以直接通過訪問到WEB服務器。操作方法:
在網關上執行上面兩行命令,即可。
人家訪問時只要在地址欄內輸入:http://218.18.103.114/即可打開你內部的WEB服務器,而訪問到你的網頁。
其它服務器以此類推:
80是WEB服務器端口
21是FTP服務器端口
25爲郵件服務器端口
22是SSH端口
27015是CS服務器端口