[问题求助][Fedora] 防火墙之基础篇（iptable） [复制链接]

我们知道网上的访问通过tcp/ip封包来进入主机系统的。在linux中它.一般要同过ip过滤机制来实现第一层防护，如果通过了.这.层防护还的通过下一关的检查 那就是TCP_Wrappers 的功能。电影
封包过滤( IP Filt.er )： --- 印刷
封包过滤是 linux 提供的第一道防火墙呦！但是不同.的核心版本会有不一样的封包过滤机制！以 2.2.xx 为核心的 Linux ..主要以 ipchains 作为过滤机制.，至于目前新版的 2.4.xx 则以 iptab.les 为机制！OK！既然我们的 Red Hat 7.1, 7.2, 7.3 为 kernel. 2.4.xx ，所以用 iptables 来进行 IP 抵挡的工作啦！那么由于 TCP 封包里头有 IP 及 port ，所以要抵挡来源 IP 或者是自身的 port ，自然就很容易来进行啦！您目前只要知道 iptables 可以经由 TCP 的封包表投资料来进行分析的工.作例如：和附规则的就通过，否则就把它丢弃 这样就防止不符合规则的人进.入你的电脑。.
至于抵挡封包的工作则可以让 TCP_Wrappers .来进.行.
要常常去看 /var/log/mes.sages 与 /.var/log/secure 这两个个档案！都是登陆登录记录等。          婚庆
要做好主机的防护，第一步就是要建立完善的密码规则啦.！因为这.个咚咚常常是 cracke.r 尝试入侵的第一步！你必须要建立好主机的密码规则，可以尝试以 chattr 来将 /etc/passwd. 及 /etc/shadow 做成不可变更的档案！较为安全啦！电影
做好安全的几个常见的工作
  1.升级与修补套件漏洞、及移除危险套.件：.
  2.每项系统服务.的安全设定项目.
  3.TCP_Wrap.pers 的基础防火设定             电子
  4.iptables 的防火规则设.定.
  5.主机.资源侦测系统( MRTG )域名
  6.登录档案分析系统：

iptables：
i..ptables 是 l.inux Kernel 2.4.xx 版本以上的主要 IP 过滤机制！他最大的功能就是可以过滤掉不要的 TCP 封包啦！当然功能还不止于此，他还可以用来进行 IP 伪装，以达成 NAT 的主机功能呢！ iptables 的工作方向，必须要依规则的顺序来分析，底下我们简单.的谈一谈 iptables 的几个概念吧：            鲜花
有几个 tables ：
跟之前版本的 ipchains 不同的地方是， iptables 可以自行定义一些 tables 的新规定！将可以让防火墙规则变的更为便于管.理呢！基本上，.原本.的 iptable 至少有两个 t.able ，一个是 filter ( 预设的，没有填写 tables 时，就是 filter 这个 table 啦 )，一个则是相当重要的 nat table 。其中， filter 可以用来管理主机的安全，至于 nat 则是用来处理 NAT 的功.能啦！    外汇
清除规则：
iptab.les 的订定方法其实很简单.，就是使用指令列的方式来订定而已，他的基础语法在清除规则时，是这样的： (广告)
[root @test. /root.]# /sbin/iptables [-FXZ] <性病>
参数说明：
  -F ：清除所有的已订.定的规则； 电脑
  -X ：杀掉所有使用者建立的. chain (应该说的是 tables ）.啰； .
  -Z ：将所有的 c..hain 的计数与流量统计都归零 电影
范例：
  [root @test /roo.t]# /sbin/iptab.les -F     外汇
. [root @test /root]# /sbin/iptable.s -X     健康
  [r.oot @t.est /root]# /sbin/iptables -Z (广告)
请注意，如果在远程联机的时候，『.这三个指令必须要用 scripts 来连续执行』，不然肯定『会让你自己被主机挡在门.外！』健康
　
定义政.策( Policy )： (广告)
清除规则之后，再接下来就是要设定规则的政策啦！这个所谓的政策指的是『当你的封包不在你的规则之内时，则该封包的通过与否，以 Policy 的设定为准』，例如：你设定了十条规则，.但有一个封包来的时候，这十条规则都不适用，这个时候此一封包就会依据 Po.licy 的规定为准，来决定.是否可以通过防火墙啰。通.常这个政策在 INPUT 方面可以定义的比较严格一点，而 FORWARD 与 OUTPUT 则可以订定的.松一些！ .
[root @t.est /root]# /sbin/iptables [-t table.s] [-P] [INPUT,OUTPUT,.FORWARD| PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP] .
参数说明：
  -t 　　：定义 .table ！ .
  tables ：t.able 的名称，例如 n.at 啰！ 电影
  -P 　　：定义政策( Policy. )。 外贸
  INPUT　：封包为输入主机的方向.；            鲜花
  OU.TPUT ：封包为输出主机的方向；               乙肝
  FORWAR.D：封包为不进.入主机而向外再传输出去的方向； 虚拟主机
  PREROUTING ：在进入路由之前进行.的工.作； 服务器
  OUTPUT　 　：封包为输出主机的方向.； 电脑
  POSTROUT..ING：在进入路由之后进行的工作。     美容
范例：
  [root @..test /root]# /sbin/iptables -P INPUT ACCEPT            建材
  [root @test /root]# /sbin/iptables -P OUTPUT A.CCEPT. .
  [root @test /root]# ./sbin/ipt.ables -P FORWARD ACCEPT .
  [root @test /root]#. /sbin/iptables -t nat -P PRER.OUTING ACCEPT 教育
  [root @test /root]# /sbin/iptabl.es -t .nat -P OUTPUT ACCEPT <性病>
  [r.oot @test /root]# ./sbin/iptables -t nat -P POSTROUTING ACCEPT 健康
将预设的政策都定义为接受啰！
　
增加、插入规则：
接下来则要定义规则啦！我们底下先完全以主机的角度来观察！可.以这样来.设定啦！           婚庆
[root @test /root]# /sbin/i.ptables [-AI] [INPUT,OUTPUT,FORWARD] [.-io interface] [.-p TCP,UDP]. [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j [ACCEPT,DROP] --------------彩票
参数说明：
  -A 　　.：新增加一条规则，该规则增加在最后面一行.； 学习
  -I　　 ：在第.一条规则加入； .
  INPUT　：封包为输入.主机的方向；           婚庆
  O.UTPUT ：封包为输出主机的方向； .
  FORWA.RD：封包为不进入主机而向外再传输出.去的方向； .
  -i　　　 ：.流入的网卡接口 .
  -o　　　　.：流出的网卡接口 服务器
  interf.ace ：网络卡接.口，例如 ppp0, eth0, eth1.... 电脑
  -p. ：请注意，这是小写呦！封包的协议啦！ --------------彩票
  TCP ：封包为 TCP .协议的封包； 投资
  UDP ：封包为 UDP 协议的封包.； [成人用品]
  -s ：来源封包的 I.P 或者是 Network .( 网域 )； .
  --.sport：来源封包的 port 号码； .
  -d ：目标主机的 IP 或者是 Network. (. 网域 )； 域名
  --dport：目.标主机的 port 号码；            鲜花
  -j 　　：动作，可以.接底下的动作； .
  ACCEPT ：接受该.封包             杀毒
  DROP　 ：丢弃封包
范例：
  [root @test /root.].# /sbin/iptables -A INPUT -i lo -j ACCEPT .
  所有的来自 lo .这个接口的封包，都予以接受              汽车
  [root @test ./root]# /sbin/iptables -A INPUT -i eth0 -p TCP -s 192.168.0.1 -j AC.CE.PT (        游戏          )
  来.自 192.168.0.1 .这个 IP 的封包都予以接受 <性病>
  [root @test /root]# /sbin/i.ptables -A INPUT. -i eth0 .-p TCP -s 192.168.1.0/24 -j ACCEPT 电影
  来自 19.2.168.1.0 这个 C Class 的网域的任何一部.计算机，就予以接受！              汽车
  [root @test ./root]# /sbin./iptables -A INPUT -i eth0 -p TCP -s 192.168.1.25 -j .DROP 域名
  来自 192..168.1.25 的 IP 的.封包，就直接全部给他丢弃！ .
  [root @test /root]# /sbin/iptables -A INPUT -i eth0. -p. TCP --dport 21 -j .DROP 虚拟主机
  只要想.要进来 21 这.个 port 的封包，就把他丢弃！外贸
  [root @test /root]# /sbin/ipta.bles -A INPUT -i eth0 -p TCP -s 192..168.0.24 --dport 22 -.j ACCEPT (        游戏          )
. 来自 192.168.0..24 的主机，想要到我的 port 22 时，就予以接受！.
请注意：防火墙的规则是『一行一行依序来检查的，若符合任何一条规则，则予以动作(接受或丢弃).，否则继续往.下检查到最后一条』上服务器
TCP_Wrappers：
这个 TCP_Wrappers 实在是很简单的一个设定工作，因为他只要设定 /etc/hosts.allow 及 /etc/hosts..deny 就可以啦！基本上，他是经由 /u.sr/sbin/tcpd 这个程序来进行 TCP 的检验工作！而检验的方式则是以 /etc/hosts.allow 及 /et.c/hosts.deny 来设定的啦！检验的.流程是先以 /etc/hosts.allow 这个档案，检验完之后，在到 /etc/hosts.deny 去搜寻！好了，.那么 hosts.allow 要怎样设定呢.？ .
<服务名称> : :
特别注意， network 可以使用 192.168.0.0/.255.255..255.0 ，但不可使用 192.168.0.0/24 ！            鲜花
[root @test /r.oot]# vi /etc./hosts.allow .
in.t.e.lnetd: 127.0.0.1 : allow 外贸
in.ftpd:.. 127.0.0.1 : allow             杀毒
本机的 127.0.0.1 开放 t..elnet 及 ftp 哩！ 服务器
[roo.t @test /root]# vi /e.tc/hosts.deny 虚拟主机
in.telnetd:. 192.168.2..3 : deny           婚庆
将 192.168.2.3 的 telnet 服务.关.掉！（linux知识宝库）            杀毒

謝謝樓主, 真是學習iptables...

看得有点头晕，能不能形象一点？？？？

置顶里不是有白老大的ppt讲义吗？