深入分析Linux防火墙

• 
  -i 数据包输入接口
  
  -o 数据包输出接口

  匹配条件扩展：

  TCP-----匹配源端口，目的端口，及tcp标记的任意组合，tcp选项等。
  
  UPD-----匹配源端口和目的端口
  
  ICMP----匹配ICMP类型
  
  MAC-----匹配接收到的数据的mac地址
  
  MARK----匹配nfmark
  
  OWNE----(仅仅应用于本地产生的数据包)来匹配用户ID，组ID，进程ID及会话ID
  
  LIMIT---匹配特定时间段内的数据包限制。这个扩展匹配对于限制dos攻击数据流非常有用。
  
  STATE---匹配特定状态下的数据包(由连接跟踪子系统来决定状态)，可能的状态包括：
  
  INVALID (不匹配于任何连接)
  
  ESTABLISHED (属于某个已经建立的链接的数据包)
  
  NEW (建立连接的数据包)
  
  RELATED (和某个已经建立的连接有一定相关的数据包，例如一个ICMP错误消息或FTP数据连接)
  
  TOS——匹配IP头的TOS字段的值。

  目标动作扩展:

  LOG 将匹配的数据包传递给syslog()进行记录
  
  ULOG 将匹配的数据适用用户空间的log进程进行记录
  
  REJECT 不仅仅丢弃数据包，同时返回给发送者一个可配置的错误信息
  
  MIRROR 互换源和目的地址以后重新传输该数据包

  Ipchains是一种Linux下使用比较广泛的工具软件，可以实现数据包过滤的防火墙功能（Linux的内核为2.1及以上的内核版本都能够支持这个软件包）。这个软件包管理着对Linux操作系统内核本身极为重要的那些IP帐户和防火墙功能。用户使用的内核必须已经在编译时激活 ipchains功能；如果想掌握ipchains运行在哪一个层次，就必须在数据包级别上精通TCP/IP网络的数据传输情况。ipchains是一个数据包过滤器，即是一个用来检查数据包的信封内容的程序；同时，根据用户设定的一系列规则，还可以决定是否允许某些数据包通过和把它们发送到什么地方。

  安装ipchains：首先下载或在光盘上找到它的rpm包，然后以root身份登录进入系统，敲入“rpm -ivh ipchains*”的命令来安装ipchains软件包。

  配置ipchains的数据包过滤功能：首先依然以root用户身份登录进入系统，接着输入“ipchains-L”命令，查看当前已经存在的链。如果你还没有对这些选项进行过配置的话，应该会看到下面这样的几行：

  >chaininput(policyACCEPT);
  
  >chainforward(policyACCEPT);
  
  >chainoutput(policyACCEPT);
  
  >

  
  选择打算配置的链：一个链就是一系列加在一组数据包类型上的规则。inputchain（输入链）指的是进入到防火墙机器中的数据包。 forwardchain（转发链）指的是进入到防火墙机器中而现在又需要发送到网络中的另外一台机器上的数据包。outputchain（输出链）指的是要向外发送的数据包。

  然后输入“ipchains -L chain”命令，列出打算编辑的链中当前已经存在的规则。在缺省的情况下，所有的链中的规则都是空白的。再输入“ipchain-Achain”，告诉 ipchains程序需要针对哪个链建立一个新的数据包过滤规则。举例来说，用户可能想对输入链建立些新规则，那么就输入“ipchains -A input”。现在还不能按回车键，还有事情要做。现在需要键入规则本身的内容。我们假定用户想做的设置是：除了从某一台特定的远程工作站点之外，人们没有办法远程登录连接到防火墙后面的任何机器。在你正在建立的那个规则的格式中使用-s(source)标志设置地址（或地址范围），如下：

  (1)单个完整的IP地址，比如：192.168.152.24。
  

• 上一页 [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 深入分析Linux防火墙 相关文章：
• ·深度技术 GHOSTXP V6.0装机个人版
• ·深入了解计算机端口
• ·中国商人必胜宝典：各地商人性格深度剖析
• ·深入浅出.NET泛型编程
• ·此男子深爱莫女子_FlashQQ空间模块
• ·女性必看！太经典了，我深有体会
• ·深入浅出 详谈防火墙的分类与应用
• ·删除隐藏在Win XP系统深处的组件
• ·由浅入深学习MSConfig命令的使用方法
• ·深思3的狗加密的软件
• 深入分析Linux防火墙 相关软件
• ·深山红叶PE工具箱 嫦娥一号纪念版 V30 正式版
• ·深山红叶袖珍PE光盘工具箱 熊猫烧香版
• ·同花顺深度行情系统(level-2)软件 V4.40.11
• ·深度GHOST工具箱 V4.0
• ·深海探密
• ·盟军敢死队深入敌后
• ·STV-深蓝卫星网络电视V4.84 Build 909
• ·穿越（一个发人深省的启示故事）
• ·深圳，谁抛弃了你？
• ·深田恭子1-1

上一篇:动态iptables防火墙dynfw

下一篇:Linux磁盘配额管理

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐