LINUX中的防火墙专题-hkebao-ChinaUnix博客

Chinaunix首页 | 论坛 | 博客

运维开发yaofang.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

博客访问： 28612611
博文数量： 2065
博客积分： 10377
博客等级：上将
技术积分： 21525
用户组：普通用户
注册时间： 2008-11-04 17:50

文章分类

全部博文（2065）

创业天下（1）

技术论坛（0）

方案选择（1）
Android开发（0）
开源项目（12）

puppet配置文件管（0）

开源XEN管理工具（0）

在线图片处理（1）

日志分析工具（1）

计费系统（1）

python统计PY源码（2）

JAVA服务提供器（1）

网络工具（1）

Java版杀进程工具（1）

网络爬虫（2）

论坛发帖机设计（1）
Ruby区（3）

CODE（0）

相关资讯（0）

基础教程（3）
面向服务（1）

rest（0）

xml-rpc（1）
运维与开发（8）

应用服务（1）

网上学习笔记（1）

程序员杂志（1）

投稿（0）

架构方面（0）

网络方面（0）

系统管理OS（1）

开发方面（0）

虚拟化方面（0）

存储方面（0）

数据库方面（3）
互联网（33）

天涯论坛（0）

淘宝开放平台（0）

开放平台开发（0）

朱敬（1）

俞强华（1）

盛大（1）

VC（1）

webgame（0）

其它（1）

云计算（1）

移动互联网（1）

CU（1）

互联网产品设计（1）

InfoQ（2）

技术方向（0）

产品设计（1）

关注腾讯（2）

马化腾（0）

腾讯（1）

从技术解读互联网（2）

网店乐（0）

80后粉丝网（1）

点评网（0）

网站盈利（1）

国内一流互联网公（1）

网站运营（2）

技术动态（2）

搜房网（0）

案例公司（0）

新技术探讨（4）

新闻杂谈（1）

马云（1）

人物（0）

反思（0）

行业动态（2）
Window（10）

基本配置（1）

OS安全配置（1）
Flash（14）

应用篇（0）

中级篇（0）

基础篇（14）

flex学习（0）
DOS命令（7）
虚拟技术（3）

开发（0）

学习笔记（0）

XEN（0）

虚拟软件（0）

虚拟化技术（1）

相关知识（1）

相关技术动态（1）

虚拟动态（0）
linux（177）

源码学习（0）

YUM包（2）

相关专题（0）

RedHat认证（0）

shell杂（1）

Linux内核（1）

网络命令（2）

安全（1）

linux工具（2）

bash（0）

工具代码（3）

linux系统学习教（9）

LVS篇（1）

源码整理（11）

装机（5）

linux小技巧（8）

常用配置文件（2）

Ubuntu（1）

系统管理（4）

linux杂（9）

linux学习（13）

linux调优（2）

VI篇（4）

SED与AWK（6）

linux常用命令（43）

防火墙（6）

SHELL学习（10）

脚本学习（1）

鸟哥私房菜专集（6）

DNS学习（7）
其他内容（416）

混迹社会（0）

2011计划（1）

自己的项目（1）

未来之约（1）

工作日志（4）

日记（4）

职场生涯（4）

区域城市（3）

linux认证（0）

CCNA认证（0）

下一代网站（1）

投资自己（1）

当站长（2）

新闻日记（31）

创业专栏（9）

实战（0）

技术（0）

淘宝易货（0）

编码（1）

读书（3）

新浪财经（0）

程序设计（1）

学习（4）

股票软件（1）

读书笔记（3）

积淀（1）

工作（0）

酒文化（0）

茶文化（0）

搜狐财经（0）

第二职业（1）

压力篇（3）

项目进展（2）

木材（0）

家居（0）

传统产业分析（0）

可行性市场分析（1）

寻找市场（1）

互联网创业（2）

时间管理（2）

要做的平台产品（1）

人际交往（1）

项目学习法（3）

营养（5）

IT认证考试（0）

论坛精华（8）

职业规划（16）

创业篇（2）

年计划（0）

年计划（19）

汽车平台（0）

关注地产（0）

平台（0）

外包项目（2）

求职面试（14）

创业立志（5）

股票学习（0）

美食（1）

学习基金理财（2）

我的基金（2）

面试（0）

反省过去（1）

CTO相关资讯（0）

心情日记（28）

工作（4）

专题一（1）

财务（1）

大项目（3）

互联网盈利（8）

整理电子商务站（1）

男人与石头（1）

金融证券（0）

银行基金（11）

未来计划（13）

架构师（6）

社会经验（10）

工作室（11）

职业规划（8）

理财大全（1）

赚钱计划（10）

我的小说（3）

经典励志（24）

学习计划（2）

健康之道（4）

旁征博引（36）

学习心得（17）

编程心得（19）
java框架（55）

数据导入工具（1）

项目学习记录（0）

WEB框架理论（1）

常见异常错误（1）

整理代码（0）

笔记（0）

常用代码（3）

配置（6）

2010学习笔记（7）

专题（0）

Hibernate（0）

dom4j（2）

xsocket框架（1）

Ant开源学习（2）

Spring框架（0）

structs2.0（30）
php学习（198）

认证项目CI（0）

PHP自定义函数（0）

PHP整理笔记（1）

PHP面向对象（1）

UC专题（3）

wordpress（0）

php专题篇（9）

基于CI开源项目（0）

框架学习（1）

PHP缓存（0）

php整理备战（0）

php常用的代码（1）

PHP整理网站（0）

PHP看开源代码（3）

实战经验（2）

PHP制作公司CMS（3）

看实例学习整理（8）

PHP相关资料整理（18）

整理CU文章（23）

CodeIgniter框架（5）

Smarty学习整理（8）

帝国CMS学习区（3）

PHP168学习区（0）

PHP制作网站总结（51）

PHP常用函数整理（30）

PHP实例教程（7）

PHP入门资料（19）
Javascript（86）

ajax代码库（0）

ajax专题（1）

javascript理论（1）

JQuery应用（8）

javascript基础（3）

DEMO（4）

Javascript专题（7）

JQuery插件专题（6）

js常用代码集合（7）

JQuery框架学习（11）

JS解决跨域（0）

JavaScript小项目（1）

JavaScript整理（12）

Prototype框架（0）

ajax学习（14）
安全红客（7）

CODING（4）

网络安全（3）
敏捷开发（0）

技术准备（0）
奋斗领域（12）

分布式操作系统（0）

嵌入式操作系统（0）

Kernel（0）

Linux方向（0）

Linux内核研究（0）

C学习（2）

C代码库（1）

工具函数（0）

专题篇（3）

2010年专题产品篇（0）

UNIX环境高级编程（2）

网络编程相关（0）

数据结构与算法（0）

服务器性能编程（0）

HTTP编程（0）

网络编程（0）

C实现服务器（2）
J2ME学习（2）
WAP开发（0）
软件测试（3）

相关（1）

单元测试（0）

功能测试（0）

性能测试（1）
数据库学习（218）

故障排查经验（1）

2010数据库大会资（2）

相关资料整理（0）

mysql杂（2）

Mysql基础教程（6）

工作经验（1）

架构瓶颈（1）

系统管理员（1）

数据库技术（4）

基础（0）

索引理论（0）

SQL语句理论（2）

理论（2）

架构设计（0）

SQL编程（0）

MSSQL问题解决（2）

MySQLDBA篇（38）

数据库基础理论（8）

常用系统管理（12）

架构之数据库设计（2）

MySQL编程篇（15）

MySQL架构第一步（6）

MYSQL主从软件（6）

MYSQL查询优化篇（36）

MySQL中的文件（9）

MySQL主从配置（6）

MSSQL2000（12）

数据库加程序（2）

MYSQL（34）
兴趣研究（0）

全文检索（0）
IT运维体系（38）

翻译（2）

转载资料（2）

puppet（4）

ZABBIX（0）

mantis-bug管理系（0）

职业（2）

游戏运维（0）

Rsync（3）

rrd（1）

mrtg（0）

certmaster（0）

Func（1）

Cfengine（1）

cacti（2）

nagios（1）

ITIL（0）

规范流程（0）

Remedy（0）

kettle（0）

jpivot（0）

mondrian（0）

开源框架（1）

实践内容（1）

运维经验整理（2）

网上眼界（10）

新技术（0）

相关理论（4）
Erlang（4）

资料整理（4）
开源学习（6）

开源产品使用（1）

其他开源（1）

Memoranda（0）

Drupal专题学习笔（0）

php开源（0）

python开源代码（2）

C开源代码（0）

Shell开源（0）

JAVA开源（1）
Jython学习（0）

Jython入门学习（0）
理论知识（69）

gfs（1）

mfs（0）

分布式文件系统（1）

SNMP（4）

VPN教程（1）

网络教程（1）

存储教程（3）

存储产品（1）

漫谈存储（3）

存储开发（0）

存储技术（1）

存储理论（2）

存储相关（0）

存储（0）

操作系统（0）

软件工程（0）

其它相关（0）

算法（0）

计算机知识（3）

网上资料（8）

CCNA教程（9）

计算机硬件（4）

FastDFS专题（1）

架构之开源篇（0）

架构之硬件（9）

架构之系统（2）

架构之存储篇（3）

架构之网络篇（7）

计算机网络（2）

正则表达式（3）
服务器配置（105）

nginx源码研究（0）

实际案例分享（1）

nginx开发（2）

apache学习笔记（4）

资料介绍（1）

资料使用（0）

CDN（2）

LVS（0）

服务器安全（1）

haproxy（1）

Varnish（0）

squid（1）

编程篇（0）

memcached（2）

nginx整理学习（15）

nginx实战经验（5）

nginx官网资料（4）

FTP服务器（1）

lighttpd（3）

版本控制管理（8）

负载均衡（1）

nginx服务器（8）

服务器集群（1）

IIS服务器（12）

resin服务器（16）

Apache服务器（13）

Tomcat服务器（3）
JSP学习（57）

JSP开发经验之谈（2）

JSP架构设计（1）

JSP基础（1）

JSP专题（3）

J2EE体系（0）

JSP缓存整理（2）

JSP配置文件（3）

JSP实践编程（2）

JSP自定义标签（10）

JSP文本操作（2）

JSP扩展话题（1）

JAVABEAN学习（5）

Servlets学习（12）
XML学习（15）

YAML（0）

SOAP专题（2）

XML基础篇（7）

WebService（0）

JSON（6）
ASP学习（89）

ASP专题整理（5）

vbs教程（4）

JMail整理版（1）

ASP其他（2）

ASP建站整理（9）

ASP整理归档版（22）

ASP工具整理（14）
专题讨论（99）

LDAP（0）

LINUX密码管理（0）

代码优化JOB（2）

CI框架公司培训（1）

理论学习（0）

JSP（1）

内存DB（1）

代码库（1）

HTTP隧道（0）

破解验证码（2）

研究专题（1）

JQuery培训（0）

MySQL架构（3）

培训专题（0）

GAE专题（0）

不懂就学专题（1）

Google APP Engin（0）

ROR框架整理（0）

Hibernate整理（1）

Django培训专题（0）

编程思想篇（1）

8月份研究模拟Htt（1）

HttpClient学习（2）

Java开源版商城（0）

JAVA实现下载器（2）

学习项目制作（0）

PHP（10）

文档编写（1）

WEB服务器（1）

网页爬虫（9）

网络处理老师（1）

好的网站大全（2）

JavaScript代码（6）

CSS样式（0）

Java（17）

Python（24）

ASP（8）
编程工具（13）
JAVA学习（160）

数据库编程（11）

JAVA短信（0）

Java面试题（1）

JAVA日常工具（3）

JAVA新技术（2）

开发思想JAVA版（1）

JAVA小品（1）

SCJP考证（1）

java基础教程（5）

JAVA网络编程（10）

JAVA岗位招聘（5）

JAVA性能监控（3）

JAVA与设计模式（0）

java.lang（1）

系统学习（2）

java.util（7）

Java代码之美（2）

基础学习整理（6）

JAVA高级工程师（11）

高性能架构（2）

专题研究（8）

java.io（1）

SUN官网资料（2）

JAVA缓存（0）

JAVA正则（1）

RMI（1）

JAVA基础（20）

面向接口编程（1）

JAVA编程思想（3）

JAVA操作流文件（9）

JAVAMail专题（2）

JAVA中数据结构（12）

JMS学习（1）
WEB开发（79）

原创架构（1）

架构大讲堂（8）

CSS框架（0）

百度UED团队（2）

前端开发（0）

架构整理（3）

DIV+CSS实例整理（0）

DIV学习笔记（2）

前台学习资料（1）

HTTP理论（19）

COOKIE详细分析（5）

SVG学习篇（10）

WEB页面分析（0）

程序方面（0）

CSS框架（3）

SEO优化（0）

页面编码（2）

HTML学习（18）

div+css（5）
未分配的博文（65）

文章存档

2012年（2）

2011年（19）

2010年（1160）

2009年（969）

2008年（153）

我的朋友

最近访客

推荐博文

相关博文

LINUX中的防火墙专题

分类： LINUX

2010-03-13 19:30:31

LINUX中的防火墙专题

[整理人：遥方整理时间:2010-3-13]

修改防火墙的指令

vi /etc/firewall.sh

source /etc/firewall.sh 使其生效

其中的firewall.sh 文件内容类似的如下：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

不太明白这些含义。现在整理一下以后就懂了！

一、整理一下相关的专业名词术语

INPUT 网络数据包流向服务器

OUTPUT 网络数据包从服务器流出

FORWARD 网络数据包经服务器路由

nat,用于NAT表.NAT(Net Address Translation )是一种IP地址转换方法。

PREROUTING 网络数据包到达服务器时可以被修改

mangle,用于修改网络数据包的表，如TOS(Type Of Service),TTL(Time To Live),等

示例：#iptables -A INPUT -s XX.X.XXX.X/XX -p udp --dport 165 -j ACCEPT

其中就有INPUT关键字。表示网络数据包流向服务器

数据包进入到一台服务器的数据流过程：

当数据包进入服务器时，Linux Kernel会查找对应的链，直到找到一条规则与数据包匹配。如果该规则的target是ACCEPT，就会跳过剩下的规则，数据包会被继续发送。如果该规则的target是DROP，该数据包会被拦截掉，kernel不会再参考其他规则。

　　Note：如果从始至终都没有一条规则与数据包匹配，而且表末尾又没有drop all的规则，那末该数据包会被accept。Cisco则相反，在表末尾会因含deny all的规则。

二、看到一条规则又是什么-A又是什么-s又是什么-p之类的现在整理一下明白其中的含义

-A 在链尾添加一条规则

-C 将规则添加到用户定义链之前对其检查

-D 从链中删除一条规则

-E 重命名用户定义的链，不改变链本身

-F 清空链，删除链上的所有规则

-I 在链中插入一条规则

-L 列出某个链上的规则，如iptables –L INPUT 列出INPUT链的规则

-N 创建一个新链

-P 定义某个链的默认策略

-R 替换链上的某条规则

-X 删除某个用户相关的链

-Z 将所有表的所有链的字节和数据包计数器清零

示例：

iptables –F 在firewall.sh的头部会定义这一行表示先清空

iptables -P INPUT DROP 定义默认策略为DROP

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

上面是大写的关键字现在来看看小写的关键字吧

-p –protocol 应用于数据包的协议类型，可以是TCP UDP ICMP或ALL。！也可使用。

当使用-p tcp时，还可使用其他可以选项，以便允许进一步定义规则。选项包括：

　　--sport 允许指定匹配数据包源端口.port1:port ,表示port1和port2之间的所有端口

　　--dport 目的端口，和--sport雷同。

当使用-p !udp时，也有特殊的选项供使包括：

　　--sport,--dport,与-p tcp 相同，只不过用以用于UDP包。

使用-p icmp参数时，只有一个选项可用。

　　--icmp-type，允许在过滤规则中指定icmp类型。

示例：#iptables -A INPUT -s XXX.XXX.XXX.XXX/XX -p tcp --dport 384 -j ACCEPT

这句链用了-p 数据包的协议类型即为tcp 这里面我们用了-p tcp 还可以用其他的选项比如这里我们就使用了—dport 384 表示允许指定匹配数据包源端口

-s –source 指定数据包的源地址。该参数后跟一个IP地址，一个带有sub-net mask的网络地址，或一个主机名。(不建议使用主机名)

示例：#iptables -A INPUT -s XX.XX.X.0/16 -p udp -j ACCEPT　　

名词术语补充：

subnet mask是子网掩码，是与你的网络规模有关的，如分配网段，那些是属于这个网段，那些是属于另外一个的；2.Default Gateway是默认网关，一般是联接两个不同协议网络的一个结点，主要是完成协议转换。至于子网掩码的详细内容请参考下面的内容

-d,-- destination 数据包的目的地址，同-s.

-j,--jump 用于指定一个target,告诉规则将该匹配的数据包发送到该target。Target可以是ACCEPT,DROP,QUEUE,RETURN.如果没有-j,那么不会对数据包进行任何操作，只是将计数器加1。

示例: iptables -A INPUT -s XX.X.X.0/16 -p udp -j ACCEPT

-i,--in-interface ,对于INPUT FORWARD PREROUTING链，该指定数据包到达器时所使用的端口。

示例：iptables -A INPUT -i lo -j ACCEPT lo:表示127.0.0.1地址值

-o --out-interface,对于OUTPUT FORWARD POSTROUTING链，该参数指定数据包离开服务器时使用的端口。

下面再介绍一下-j 后面的目标的含义

创建规则的最后一步是指定Iptables对数据包的操作。只要某一规则匹配该数据包，就不会再有别的规则的操作。内建的target有：ACCEPT DROP QUEUE RETURN。
ACCEPT：允许数据包通过，到达目的地。

DROP：拒绝数据包通过，丢弃该包。

QUEUE：将数据包发送回到用户应用程序处理。

RETURN：不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。

以上介绍了整个firewall.sh里面的东西术语。现在来查看一下示例应用

允许WWW

iptables –A INPUT –p tcp –dport 80 –j ACCEPT

该规则被添加到filter表的INPUT链，允许目的端口是80的数据包。

在内部接口上允许DHCP

iptables –A INPUT –i eth0 –p tcp - - sport 68 - -dport 67 ACCEPT

iptables –A INPUT –i eth0 –p ucp - -sport 68 - -dport 67 ACCEPT

以上同时允许TCP和UDP协议。

说明：在实际的应用中用到了自已不懂的再添加进来。我想现在基本上能够看得懂它的配置文件的内容了

附一：子网掩码介绍

在TCP/IP协议中，SUBNET MASKS（子网掩码）的作用是用来区分网络上的主机是否在同一网络取段内。在大型网络中，CLASS A的 SUBNET MASKS为255.0.0.0， CLASS B的SUBNET MASKS为255.255.0.0，CLASS C的 SUBNET MASKS为255.255.255.0。

PS：哦怪不得我的电脑上面的子网掩码是255.255.255.0 原来我的是属于C类网络

假如某台主机的SUBNET MASKS为IP地址为202.119.115.78，它的SUBNET MASKS为255.255.255.0。将这两个数据作AND运算后，所得出的值中的非0的BYTE部分即为NETWORK ID 。运算步骤如下：

202.119.115.78的二进制值为： 202—二进制为：128+64+2+8=202 2的7次方+2的六次方这样
11001010.01110111.01110011.01001110
255.255.255.0的二进制值为:
11111111.11111111.11111111.00000000
AND后的结果为：                          AND表示只要有一个为0则为0
11001010.01110111.01110011.00000000
转为二进制后即为：
202.119.115.0

它就是NETWORK ID，在IP地址中剩下的即为HOST ID，即为78，这样当有另一台主机的IP 地址为 202.119.115.83，它的SUBNET MASKS也是255.255.255.0，则其NETWORK ID 为 202.119.115，HOST ID为83，因为这两台主机的NETWORK ID都是202.119.115，因此，这两台主机在同一网段内。

PS：哦因为255.255.255 其实参与and运算之后还是得回到原有的IP值。即两台主机的IP值如果都是属于C类IP的话。其前面的三个值相同则可以马上得知其网络ID是一样的。即属于同一个网段

例如：我的IP为192.168.100.40 子网掩码为255.255.255.0 那只要其他的IP是以192.168.100而且子网掩码与我的一样的话就表示我们是属性同一个网段内！

更进一步：

但是，在实际应用中，可能会有多个分布与各地的网络，而且，每个网络的主机数量并不很多，如果申请多个NETWORK ID，会造成IP资源的浪费，而且很不经济，如果我们在SUBNET MASKS上动一下手脚，可以在只申请一个NETWORK ID的基础上解决这个问题。

比如，我们有三个不同的子网，每个网络的HOST数量各为20、25和50，下面依次称为甲、乙和丙网，但只申请了一个NETWORK ID 就是 202.119.115。首先我们把甲和乙网的SUBNET MASKS改为255.255.255.224，224的二进制为11100000，即它的 SUBNET MASKS为：

11111111.11111111.11111111.11100000

这样，我们把HOST ID的高三位用来分割子网（？不太了解含义），这三位共有000、001、010、011、100、 101、110、111八种组合，除去 000（代表本身）和111（代表广播），还有六个组合，也就是可提供六个子网，它们的IP地址分别为：（前三个字节还是202.119.115）

00100001~00111110 即33~62为第一个子网
01000001~01011110 即65~94为第二个子网
01100001~01111110 即97~126为第三个子网
10000001~10011110 即129~158为第四个子网
10100001~10111110 即161~190为第五个子网
11000001~11011110 即193~222为第六个子网
选用161~190段给甲网，193~222段给乙网，因为各个子网都支持30台主机，足以应付甲网和乙网20台和25台的需求。

再来看丙网，由于丙网有50台主机，按上述分割方法无法满足它的IP需求，我们可以将它的SUBNET MASKS设为255.255.255.192，由于192的二进制值为11000000，按上述方法，它可以划分为两个子网，IP地址为：

01000001~01111110 即65~126为第一个子网
10000001~10111110 即129~190为第二个子网

这样每个子网有62个IP可用，将65~126分配丙网，多个子网用一个NETWORK ID 即告实现。

阅读(868) | 评论(0) | 转发(0) |

0

上一篇：享受过程享受手中的食物

下一篇：Javascript操作cookie整理版

给主人留下些什么吧！~~

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们