iptables組態工具比較

來源:互聯網
上載者:User

  在過去幾年中,linux作為防火牆平台的應用顯著增長。從早期1.2版核心的ipfwadm開始,Linux的防火牆代碼也走過了很長一段路程了。在2.4版的Linux核心中,使用了netfilter體系。在最新的2.4版中,Linux大大加強了安全性,例如:更好的加密支援和 netfilter體系的使用。netfilter具有完全的向後相容性。

  本文將對iptables的配置做一個綜述並且重點介紹一些iptables的組態工具。本文的討論將著眼於linux核心的IP防火牆以及其各種介面的組態工具,比如:GUI或者指令碼(shell、Perl或者特定的配置語言)。使用這些工具能夠簡化iptables的配置減少配置的錯誤。關於 iptables的知識請參考Rusty Russell寫的Linux iptables HOWTO。

  使用命令列配置iptables的困難

  使用iptables的命令列介面來配置iptables防火牆對一個人來說是一個挑戰,使用者很難指定所有IP報文的行為。使用者需要對TCP/IP 和應用程式層協議有較深的瞭解。象其前輩ipchains一樣,iptables把IP過濾規則歸併到鏈中,IP報文遍曆規則連結受處理,還可以送到另外的連結受處理,或者最後由預設策略(ACCEPT、DROP、REJECT)處理。有些網路應用程式比其它一些程式更容易穿過防火牆,因此需要理解網路連接的建立和斷開。

  我們看一下POP3協議,這是最簡單的協議之一。允許所有向內目標連接埠是110的報文通過通過無法解決所有的管理問題,因為這樣只能使用戶端向發出申請,而伺服器卻無法應答。另外,如果使用網路位址轉譯(NAT)和其它方式的報文轉寄,也存在許多問題。因為防火牆的配置將影響到整個企業的安全,所以應該特別小心。下面將大概地討論iptables的配置,要獲得更多細節請參考linux iptables HOWTO

  iptables的命令列選項

  在進入這時的討論之前,我們看一下iptables命令列選項的一個總結。

  規則鏈維護選項

  1.建立新的規則鏈(-N)

  2.刪除一個空的規則鏈(-X)

  3.改變一個內建規則鏈的策略(-P)

  4.列出一條規則鏈中的規則(-L)

  5.擦寫一條規則鏈中的規則(-F)

  規則維護

  1.在一條規則鏈中加入一條新的規則(-A)

  2.刪除一條規則鏈中某個位置的規則(-D)

  iptables的優點

  在討論各種iptables組態工具之前,讓我們看一下iptables的優點,尤其是netfilter比ipchains具有的優勢。

  iptables允許建立狀態(stateful)防火牆,就是在記憶體中儲存穿過防火牆的每條串連。這種模式對於有效地配置FTP和DNS以及其它網路服務是必要的。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。