分类: LINUX
2007-03-08 10:02:20
术语解释
a,DNAT - Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的 ip地址的技术,经常和SNAT联用,以使多台服务器能共享一个ip地址连入Internet,并且继续服务。通过对同一个ip地址分配不同的端口,来决定数据的流向。
b,SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源ip地址的技术,经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用,因为IPv4的地址已快用完了,IPv6将解决这个问题。
c,User space - 用户空间,指在内核外部或发生在内核外部的任何东西。例如,调用 iptables -h 发生在内核外部,但iptables -A FORWARD -p tcp -j ACCEPT (部分地)发生在内核内部,因为一条新的规则加入了规则集。
d,Kernel space - 内核空间 ,与用户空间相对,指那些发生在内核内部。
一,检查iptables安装包是否被安装了
二,检查服务有没有启动了/usr/sbin/iptables status
三,进行iptables的进行设置
/sbin/service iptables save 进行策略的编辑并保存于/etc/sysconfig/iptables之中
注意咯iptables的安全策略的顺序会对安全造成影响的!如下面的 案例可以清晰的看到
在创建 iptables 规则集合时,记住规则的顺序至关重要。例如:如果某个链指定了来自本地子网 192.168.100.0/24 的任何分组都应放弃,然后一个允许来自 192.168.100.13(在前面要放弃分组的子网范围内)的分组的链被补在这个规则后面(-A),那么这个后补的规则就会被忽略。你必须首先设置允许 192.168.100.13 的规则,然后再设置放弃规则。
要在现存规则链的任意处插入一条规则,使用 -I,随后是你想插入规则的链的名称,然后是你想放置规则的位置号码(1,2,3,...,n)。例如:
iptables -I INPUT 1 -i lo -p all -j ACCEPT |
这条规则被插入为 INPUT 链的第一条规则,它允许本地环回设备上的交通。
这个是在任何系统中都是同样的规律的(就我目前用过的系统ms,linux)
四,对ip的伪装进行配置
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE这就是伪装配置的基本语法!五,DMZ 和 iptablesiptables 规则可以被设置来把交通选路发送到某些机器(如专用 HTTP 或 FTP 服务器)的规则,这些机器最好是位于停火区域(demilitarized zone,DMZ)的和内部网络分开的机器。例如,要设置一条把所有进入的 HTTP 请求都选路发送到 IP 地址为 10.0.4.2(LAN 192.168.1.0/24 范围之外)的专用 HTTP 服务器的规则,NAT 会调用 PREROUTING 表来把这些分组转发到恰当的目的地:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \ --to-destination 10.0.4.2:80 |
使用这项命令,所有来自 LAN 以外的到端口80的 HTTP 连接都会被选路发送到和内部网络分离的另一个网络上的 HTTP 服务器上。这种网络分段会比允许到内部网络中的机器上的 HTTP 连接更安全。如果 HTTP 服务器被配置接受安全连接,那么端口443也必须被转发。
六,数据包的分析
CONFIG_PACKET - 允许程序直接访问网络设备(译者注:最常用的就是网卡了),象tcpdump 和 snort就要使用这个功能。
七,iptables 和连接跟踪iptables 包括一个模块,它允许管理员使用“连接跟踪”(connection tracking)方法来检查和限制到内部网络中可用服务的连接。连接跟踪把所有连接都保存在一个表格内,它令管理员能够根据以下连接状态来允许或拒绝连接:
NEW — 请求新连接的分组,如 HTTP 请求。
ESTABLISHED — 属于当前连接的一部分的分组。
RELATED — 请求新连接的分组,但是它也是当前连接的一部分,如消极 FTP 连接,其连接端口是 20,但是其传输端口却是 1024 以上的未使用端口。
INVALID — 不属于连接跟踪表内任何连接的分组。
你可以和任何网络协议一起使用 iptables 连接跟踪的状态功能,即便协议本身可能是无状态的(如 UDP)。下面的例子显示的规则使用连接跟踪来只转发与已建立连接相关的分组:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW |
