IPCHAIN.S和/proc/sys.
ipchains是linux中.的新一代防.火墙配置方式, 在ipchains中, 将防火墙规则 健康
整.理成chains, 一个 ch.ains 中可以包含多条规则. 系统缺省建立了三条chains 乙肝
: in.put output forward.[成人用品]
规则的样子象下面这样:
例如
-p tcp .-d 192.168..1.7 80 -j ACCEPT.
-p. tcp -s 192.168.1..1 !80 -j DENY( 游戏 )
-p指定协议 .-d 指定.目的地址 -s 指定源地址 -j 指定如何处理匹配该条规则的ip包. 婚庆
任何一个进入的包都要经过input的.处理 任何出.去的包都要经过output的处理健康
任何穿过该机器的包都要经过forwar.d的处理.电影
一个穿过该机器的ip包
ip packe.t ---->; input -------->; for.ward ------->; output ---->;.
chains chains ch.ains学习
一个发往本机的ip包
ip packet -.--->; inpu.t ---->; 汽车
chains
如果你不希望你的机器响应ping包括你.可以这样作:
ip.chains -A input -p .icmp -j REJECT<性病>
-A是指在指定的chains中加.入一条规则 这条规则是说所有进来的包如果它的协议类型是icmp的话就抛.弃它.
ipchains -A input -p icmp -s 192.168..1.0/255.255.255.0 .-j REJECT(广告)
这一条.规则可以使192.168.1.0/2.55.255.255.0的机器ping不通你 其中的源地址.
也可以.写成 192.168.1.0/24--- 印刷
下面介绍一些常用的参数
-N chains_name n.ew一个新.的chains--- 印刷
-X chains_n.ame delete一.个空的chains教育
-A .chains_name 在指定的chains.中加入一条规则 婚庆
-F c.hains_name. 删除指定chains中的全部规则.
-D cha.ins_name 删出一条规则服务器
-p proto.col_name 协议的名字(tcp udp icm.p).
-i interface._name 接口的名字域名
对.于input来说是指包进入的接口 汽车
对于out.put来说是指包出去的接口 乙肝
对于forward来说是指包.出去的接口学习
-P chains rule. 改变指定ch.ains的策略(是指它的缺省处理方式).
下面讲一讲目标 就是-j后面的参.数 .它们可以是下列值服务器
ACCEPT 接受 也就是说按.正常方式处理它域名
REJECT 抛弃. 好象根本没有收到过它健康
DENY 拒绝 有点象REJECT 但发.送i.cmp包 报错学习
MASQ 作ip 伪装
REDIRECT .重定向到本地的一个端口(只限于.tcp, udp)<性病>
RETURN 立即结束本c.hains的处理 杀毒
Other_cha.ins .跳到其他chains中继续处理外贸
大家可以看到 .正是由于 可以在chains之间跳来跳.去的才使得它很方便 杀毒
在.指定协议后可以指定一些与协议相关的参数 例如tcp udp 中的端口号 i.cmp中的包文(广告)
类型
icmp
0 echo-reply
3 destinati.on-unreachable 健康
5 redirect
8 echo-request
11 time-exc.eeded.
例如你只想拒绝ping的数.据包 你可以这样 美容
ipchains -A input -p. icmp -s 192.168..1.7 0 -j DENY虚拟主机
下面看一看ip伪装
它通常用于这种情况 你只有少量的合法ip .却希望很多台机器可以上网 你使用一台机器作伪装 而其它的机器将他.设成网关 这样大家就都可以上网了 实际.上 这个网关起了一个代理服务器的作用 linux中还专门写了几个模块用于一些特殊的服务 如 FT.P (/lib./modules/2.2.5-15/ipv4/ip_masq_ftp.o). 注意 目标为MASQ的规则只能加在forward中..
大家看一下下面的图
Internet
|
| eth0
-------------------- .eth1 婚庆
| 202.118.67..254 |---------------------202.11.8.67.252外贸
--------------.------ 202.118.67.253 WWW s.erver<性病>
192.16.8.1.1 | eth2.
|
-----------.---.---------------------------(广告)
s.ubnet 1.92.168.1.0/255.255.255.0 电子
这里用一台装了三块网卡的 Linux bo.x 作.网关 三快网卡的ip地址分别为 乙肝
eth0 : .202.1.18.67.254 接internet电脑
eth1 : 202..118.67.253. 接非军事区.
eth2 : 192.168.1..1 接内网电影
设定ipchains :
ipcha.ins -P input REJECT 外汇
ipchains -.P forwa.rd REJECT学习
ipchains -P outpu.t REJECT.
ipchains -A input -i eth2 -s 192.168.1.0/24 -.j A.CCEPT 杀毒
ipchains -A input -p tcp -i eth1 -s 202.118.67.252 8.0. -j ACCEPT.
ipchains -A. input -p tcp -d 202.118.67.252 80 -j .ACCEPT域名
ipchains -A forwa.rd -s 192.168.1.0/24 -.j MASQ.
这样就足够了 对内部作伪装 又允许 外部同.自己的.www server通信. 美容
不要忘.了插入模块ip_masq_ftp 乙肝
insmod /lib/modu.les/2.2.5-15/ipv4/ip_masq_ftp..o.
下面是一些细节
指定端口号
-p tcp -s 192.16.8.1.1 80.
-p tcp -s 192.168..1.1 !80电影
-p tcp -s 192.168..1.1 .80:1000 汽车
注意第二个 !80是指除了80以外端口 第三条是指从80 到.1000 之间的.端口服务器
'!' 的用法很广 如
-s !192.168.1..1 女人
另外.在指定端口号时也可以用符号名 如 www ftp. telnet等
注意在.使用icmp的类型时不可以用'!'.服务器
还可以用下面的参数
--source-port [!] [port [: por.t].]健康
--destation.-p.ort [!] [port [: port]].
控制syn包 (相当于控制tc.p的连接方向).
[!] -y
如:
-p. tcp -s 192.168.1.0/24 -y -d 192.168.0.0/24. -j DENY 汽车
这一条相当于使1.92.168..1.0无法连向192.168.0.0--- 印刷
在配制li.nux的防火墙时经常要对 .linux 的 tcp/ip 作特殊控制投资
/proc是linux中的一个特殊目录 它可以.提供很多.的统计信息 也可以对内核作控制(广告)
/proc/s.ys就是用于控制的 建材
许.多文件中只包含了一个0或1, 用于表示真或假.域名
/p.roc/sys/net/ipv.4目录下的一些文件外贸
i.cmp_echo_ignore_all. 是否忽略所有的ping包教育
icmp_echo_ignore_.broadcasts 是否忽略广播的ping包..
ip_always._defrag 是否处理分片 健康
ip_.forward 是否作IP for.ward 实际上这于/etc/sysconfig/network投资
中的FORWARD_IPV4是.一样的.
ip_local_port_ran.ge 本地使用的端口范围(在不.指定本地端口的情况下) 乙肝
文件中包含.了两个整数指明了范围 外汇
ipfrag_time 处.理一个分片的最长时.间以秒为单位 乙肝
/proc/sys/net/i.pv4/conf下有几个目录 其中all.对应于所有的网络设备 外汇
accept_.redirects 是否接受重定向包.
forwarding 是否.允许forward.
send_re.directs 是否发送重定向包域名
accept_sour.ce_route 是否接受源.路由电影
rp._filter 是否只允许直接连接的网络通信.
shared_media 是否是共享介质. 健康
secure_..redirects 是否允许安全重定向(只接受由网关来的)虚拟主机
