使用IP鏈建立Linux防火牆

來源:互聯網
上載者:User

  雖然Linux作業系統具有很多優點,其安全性也較高,但是你不應當由此產生一種虛假的安全感,因為你的Linux系統的安全性仍舊可能受到損害。現在就讓我們來看看如何通過使用IP鏈(IPchains)來建立Linux系統的防火牆,保護你的系統不受侵害。

  先假設你已經具備了一些關於網際網路的基本知識。應當說,熟悉像IP地址、TCP連接埠和網路傳輸資料之類的詞彙是很有用處的。對防火牆有一個大概的瞭解也是十分有必要的。

  ■命令:

  我們需要確立起一系列的規則,這樣IP鏈才能進入來來往往的網路路徑。每一條規則都被置於三鏈之一,這三個鏈分別為:存放輸入資料的輸入鏈、存放輸出資料的輸出鏈和傳輸鏈。

  每增加一條規則,都要從IP鏈開始,並且要增加下面的某些或全部步驟。附加(Append)、刪除(Delete)、插入(Insert)和替換(Replace),這些命令通常是跟在起始的IP鏈命令之後,並且指示程式應當把規則命令添加在哪條鏈上以及如何添加。添加時,以-A、-D、- I,或者-R開始,這些字母的後面再加上鏈的名稱(輸入鏈或輸出鏈)。

  當你要使用插入命令時,必須在要加入該命令的位置上,在鏈的名稱後面,具體指定行號。

  在使用替換命令時,需要指定被替換的行號,使用刪除命令的時候,也必須指定刪除的行號。  

  在使用刪除選項時,無須在行號後面再輸入什麼別的內容。你只要鍵入ipchains -L,就可以發現命令所作用的行號。

  ■協議(Protocol):

  在這裡你要針對每一條規則命令具體地指明某種協議。在大多數情形下,使用TCP/IP協議。

  也有可能你不想讓你的電腦對另一台電腦發出的Ping訊號做出反應。為了做到這一點,需要具體指定ICMP(互連網控制報文協議)。在具體地指定某個協議的時候,要使用-p命令,如:-p icmp。

  ■源(Source):

  源可以確定從某個特定的IP地址而來的路徑以及使用-s命令的連接埠。如果你知道一個標準的IP地址,就可以直接使用IP地址,或者乾脆指定一個網域名稱(比如www.ccidnet.com)。假如你想指定任意一個地址,不妨用0.0.0.0/0。

  我們可以在IP地址的後面用數字來指定某一個連接埠(比如110),也可以用伺服器的名稱(pop3)來指定某一個連接埠。使用冒號可以將兩個連接埠數字分隔開,這樣就能指定一連串的連接埠。例如:

  -s mail.mailserver.com pop3

  -s 127.0.0.1 139:164

  ■目的(Destination):

  用法與源地址是一樣的,只要指定目的地址和連接埠即可。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。