Linux论文 iptables 创建防火墙

Linux论文 iptables 创建防火墙由刀豆文库小编整理，希望给你工作、学习、生活带来方便”。

Linux论文

用iptables创建防火墙

学 号： 姓 名： 提交日期： 成 绩：

Xxxx Xxxx 2010-6-13

东北大学秦皇岛分校

用iptables创建防火墙

用iptables创建防火墙

iptables基本概念

防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令，一般语法如下：

iptables [-t table] command [match] [target] table 表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项：filter、nat和mangle（该选项非必要）

commad command部分是iptables命令最重要的部分。它告诉iptables命令要做什么，例如插入规则、将规则添加到链的末尾或删除规则。

用iptables创建防火墙

match 指定信息包与规则匹配所应具有的特征（如源地址、目的地址、协议等）。（该选项非必要）

用iptables创建防火墙

target 由规则指定的操作，对与那些规则匹配的信息包执行这些操作.用iptables创建防火墙

iptables创建防火墙

1． 检测系统是否安装iptables 命令 #rpm –qa | grepiptables 2.查看规则#iptables –list 3.增加规则

# iptables-t filter-A INPUT-s 123.456.789.0/24-j DROP 或# iptables-t filter-A OUTPUT-d 123.456.789.0/24-j DROP 4.删除规则

#iptables-t filter-D OUTPUT-d 123.456.789.0/24-j DROP 5.缺省的策略

# iptables-P INPUT DROP # iptables-P FORWARD DROP # iptables-P OUTPUT ACCEPT 6.SYN的使用

刚开始使用iptables的人可以充分利用syn标识来阻止那些未经授权的访问。iptables只检测数据包的报头，事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。比如，在进行Web冲浪时，一个请求从你的PC发送至其它地方的Web服务器上，该服务器会响应请求并发回一个数据包，同时得到你系统上的一个临时端口。与响应请求不同的是，服务器并不关心所传送的内容。可以利用这种特点来设置规则，让它阻止所有没有经过你系统授权的TCP连接

#iptables-t filter-A INPUT-i eth0-p tcp--syn-j DROP 7.规则的保存

用iptables创建防火墙

# iptables-save >iptables-script 8.创建一个简单防火墙，定义一些规则，生成如下脚本文件，设计开机自动运行 #touch /etc/rc.d/filter-firewall #创建脚本文件firewall $!/bin/sh #为变量赋值

IPTABLES=/sbin/iptables LAN_NET=“192.168.1.0/24” IFACE= “eth0” LO_IFACE=“lo” LO_IP=“127.0.0.1” #加载所需的内核

/sbin/modprobeip_conntrack /sbin/modprobeiptable_nat #缺省情况下，IP转发都处于不可用状态，将其设置为可用状态： echo “1” > /proc/sys/net/ipv4/ip_forward #使IP的动态分配功能可用

echo “1” > /proc/sys/net/ipv4/ip_dynaddr #每次重启这个脚本时，最好清除以前所设的规则 $IPTABLES-P INPUT DROP $IPTABLES-F INPUT $IPTABLES-P OUTPUT ACCEPT $IPTABLES-F OUTPUT $IPTABLES-P FORWARD DROP $IPTABLES-F FORWARD $IPTABLES-F-t nat #只允许在LAN中使用SSH连接

$IPTABLES-A INPUT-s LAN_NET-p tcp--destination-port h-j ACCEPT #允许loopback!$IPTABLES-A INPUT-i lo-p all-j ACCEPT $IPTABLES-A OUTPUT-o lo-p all-j ACCEPT #丢弃那些流入的宣称是来自本地机器的数据包 #丢弃那些流出的不是出自本地机的数据包

$IPTABLES-A INPUT-i $IFACE-s $LAN_NET-j DROP $IPTABLES-A OUTPUT-o $IFACE-s!$LAN_NET-j DROP #限制一些流出的信息

$IPTABLES-A OUTPUT-o eth0-p tcp-dport 31337-j DROP $IPTABLES-A OUTPUT-o eth0-p tcp-sport 31337-j DROP #此外，31335、27444、27665、20034 NetBus、9704、137-139（smb）端口也应被禁止.$/ect/rc.d/ filter-firewall #执行脚本，使之生效。

用iptables创建防火墙

问题及解决

问题——对iptables的命令格式及其相关参数不太了解。

解决——查找了一些相关资料对，表，命令，匹配，目标及其相关参数做了详细的了解，并置表。（论文开始部分）

问题——在禁止转发任何包，然后一步步设置允许通过包的过程中，不能禁止。

解决——FORWARD链的策略应用错误，将ACCETP改为DROP.心得体会

从Linux的学习开始，到现在Linux结课，我对Linux又了初步的了解，如，安装Linux，Linux的图形用户界面（X windows—GNIME和KDE）,shell，Linux的一些基本命令。另外对运用Linux搭建DNS服务器，FTP服务器，Email服务器，Web服务器也有的浅显的了解。对shell编程，Linux安全掌握了些许基本内容

在用iptables创建防火墙的过程中对状态，规则，iptables的基本命令格式及其相关参数较深入的学习了解。能够用iptables做一些简单的设定，如清除，插入，添加一些规则，设定filter table的预设策略。能够简单的编写一些规则，如 iptables –A FORWARD –p tcp –d 192.168.1.11 –dport www –I eth0 –j ACCERT(设eth0连接内网)表示采用tcp协议，允许目的地为内部网www的服务器。

在学习的过程中遇到了一些困难，通过查资料，克服困难最终成功设置了一个包过滤防火墙。