Loading...
服务热线:400-000-000 (电话列表) 购物车(0)
您好,访客 请登陆注册
 

当前位置:资讯中心主页 >托管租用 >文章内容

  • 解读Linux2.4的netfilter功能框架(中)
  • 来源:作者: 发布时间:2007-12-05 14:22:06

    • 域名注册

    • 域名惊喜价格 cn域名1元注册
    • com域名39.9

      虚拟主机

    • 主机按月支付,低至19元/月
    • 超大流量,可开子站点

      VPS主机

    • 特惠VPS168元/月,4-8M独享带宽保证
    • 独立操作系统,无限开站点
     下面的内容需求具有对TCP/IP,路由,防火墙及包过滤的基本概念的了解。

       在第一部分已解释过,filter表和三个钩子进行了挂接,因此提供了三条链进行数据过滤。所有来自于网络,并且发给本机的数据报会遍历INPUT规则链。所有被转发的数据报将仅仅遍历FORWARD规则链。最后,本地发出的数据报将遍历OUTPUT链。

    向规则链中插入规则
       Linux2.4提供了一个简洁强大的工具"iptables"来插入/删除/修改规则链中的规则。这里并不对iptalbes进行周详的介绍,而只是讨论他的主要的一些特性:

       该命令实现对所有的ip表进行处理,当前包括filter,nat及mangle三个表格,及以后扩展的表模块。

       该命令支持插件来支持新的匹配参数和目标动作。因此对netfilter的所有扩展都非常的简单。仅仅需要编写一个完成实际目标动作处理的模块和iptalbes插件(动态连接库)来添加所需要的一切。

       他有两个实现:iptables(IPV4)及ip6tables。两者都基于相同的库和基本上相同的代码。

    基本的iptables命令
       一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入,添加,删除,修改)、对特定规则的目标动作、匹配数据报条件。

       基本的语法为:

       iptables -t table -Operation chain -j target match(es)

       例如希望添加一个规则,允许所有从所有地方到本地smtp端口的连接:

       iptables -t filter -A INPUT -j ACCEPT -p tcp --dport smtp

       当然,更有其他的对规则进行操作的命令如:清空链表,设置链缺省策略,添加一个用户自定义的链....

       基本操作:

       -A   在链尾添加一条规则;

       -I   插入规则;

       -D   删除规则

       -R   替代一条规则;

       -L   列出规则。

       基本目标动作,适用于所有的链:

       ACCEPT 接收该数据报;

       DROP 丢弃该数据报;

       QUEUE 排队该数据报到用户空间;

       RETURN 返回到前面调用的链;

       foobar 用户自定义链。

       基本匹配条件,适用于所有的链:

       -p 指定协议(tcp/icmp/udp/...);

       -s 源地址(ip address/masklen);

       -d 目的地址(ip address/masklen);

       -i 数据报输入接口;

       -o 数据报输出接口;

       除了基本的操作,匹配和目标还具有各种扩展。

    iptables的数据报过滤匹配条件扩展
       有各种各样的数据包选择匹配条件扩展用于数据包过滤。这里仅仅简单的说明来让你感受扩展匹配的强大之处。

       这些匹配扩展给了我们强大的数据报匹配手段:

       TCP匹配扩展能匹配源端口,目的端口,及tcp标记的任意组合,tcp选项等;

       UPD匹配扩展能匹配源端口和目的端口;

       ICMP匹配扩展能匹配ICMP类型;

       MAC匹配扩展能匹配接收到的数据的mac地址;

       MARK匹配扩展能匹配nfmark;

       OWNE匹配扩展(仅仅应用于本地产生的数据报)来匹配用户ID,组ID,进程ID及会话ID;

       LIMIT扩展匹配用来匹配特定时间段内的数据报限制。这个扩展匹配对于限制dos攻击数据流非常有用;

       STATE匹配扩展用来匹配特定状态下的数据报(由连接跟踪子系统来决定状态),可能的状态包括:

       INVALID (不匹配于所有连接);

       ESTABLISHED (属于某个已建立的链接的数据报);

       NEW (建立连接的数据报);

       RELATED (和某个已建立的连接有一定相关的数据报,例如一个ICMP错误消息或ftp数据连接);

       TOS匹配扩展用来匹配IP头的TOS字段的值。

    iptables的数据报过滤目标动作扩展
       LOG  将匹配的数据报传递给syslog()进行记录

       ULOG 将匹配的数据适用用户空间的log进程进行记录

       REJECT 不仅仅丢弃数据报,同时返回给发送者一个可设置的错误信息

       MIRROR 互换源和目的地址以后重新传输该数据报

  • 以上内容由 华夏名网 搜集整理,如转载请注明原文出处,并保留这一部分内容。

      “华夏名网” http://www.sudu.cn 和 http://www.bigwww.com 是成都飞数科技有限公司的网络服务品牌,专业经营虚拟主机,域名注册,VPS,服务器租用业务。公司创建于2002年,经过6年的高速发展,“华夏名网”已经成为我国一家知名的互联网服务提供商,被国外权威机构webhosting.info评价为25大IDC服务商之一。

    华夏名网网址导航: 虚拟主机 双线主机 主机 域名注册 cn域名 域名 服务器租用 酷睿服务器 vps vps主机

  • (阅读次数:372)
  • 上一篇: 解读Linux2.4的netfilter功能框架(下)    下一篇: 解读Linux2.4的netfilter功能框架(上)
  • [收藏] [推荐] [评论] [打印本页] [返回上一页][关闭窗口]
  • 昵称: (为空则显示guest)
  • 评论分数: ★ ★ ★★★ ★★★★ ★★★★★
  • 评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。