使用用户空间命令iptables实现包过滤
1、 打开内核的包转发功能 # echo “ 1” >/froc/sys/net/ipv4/ip_forward 或修改/etc/sysconfig/network 改 FORWARD_IPV4=false 为 FORWARD_IPV4=true |
2、 Iptables规则要素 一条iptables 规则基本上包含5个要素 ——>指定表(table)filter,nat,mangle 过滤使用filter ——>指定操作命令(command)添加、删除、更新 ——>指定链(chains)INPUT 、OUTPUT 、FORWARD ——>指定规则匹配器(matcher) ——>指定目标动作(target)ACCEPT、DROP、REJECT、LOG、TOS |
注:iptables 中的指令均需区分大小写 |
3、 iptables 语法的简化形式 iptables [-t table] CMD [chain] [rule-matcher] [-j target] table为表名,CMD为操作指令,chain为链名,rule-matcher为规则匹配器,target为目标动作 |
4、 制定永久性规则 保存和恢复规则集,用下面的命令转储内存中的内核规则集 /etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件 # /sbin/iptables-save>/etc/sysconfig/iptables //恢复原来的规则集 # /sbin/iptables-restore</etc/sysconfig/iptables 让iptables在下次启动时规则还能使用 (1) 使用iptables启动脚本实现 /etc/rc.d/init.d/iptables 使用下面命令保存规则 # service iptables save (2)在自定义脚本中用iptables命令直接创建规则集,在启动时执行这个脚本 例:/etc/fw/rules 在启动脚本中/etc/rc.d/rc.local中加入 If [ -x /etc/fw/rules];then /etc/fw/rules; fi; 建议使用ntsysv命令关闭iptables守护进程 |