主要用于过滤IP分组数据，实现网络地址 转换，以及改造分组数据等。iptables既是Linux 系统中的一个命令，也是Linux系统中利用IP分 组数据过滤规则实现防火墙功能的软件总称。 • 当前，iptables本身定义了三个内置表：filter， nat与mangle，分别用于执行常规的分组数据过 滤、网络地址转换，以及分组数据改造等。每个 表均包含一定数量的内置链表。
• 下面的命令删除规则：
• iptables -D INPUT 5
设置iptables防火墙
下面的命令修改filter表中各个链表的默认策略： • iptables -P INPUT DROP • iptables -P OUTPUT DROP • iptables -P FORWARD DROP 启动iptables服务进程 • service iptables start • chkconfig --level 35 iptables on
iptables规则配置文件
启动iptables防火墙时，/etc/rc.d/init.d/iptables 脚本将会检索/etc/sysconfig/iptables规则配置文件。 如果文件不存在， /etc/rc.d/init.d/iptables脚本不会 设置任何iptables防火墙功能。 从GNOME桌面中选择“系统->管理->防火墙” 菜单，在“防火墙配置”窗口中，选择允许通过防 火墙的网络服务，单击“应用”按钮之后，系统将 会在/etc/sysconfig目录下重建一个iptables规则文 件。
• • • •
service iptables save iptables-save iptables-save > firewall.conf iptables-restore <firewall.conf
端口扫描工具nmap
• nmap 192.168.13.20 • nmap 192.168.13.1-20 • nmap -sU -T4 192.168.13.20-22 -sU 表示用于扫描UDP端口及服务，如 DNS（53）、SNMP（161/162）或DHCP （67/68）等。 -T4 表示加快执行速度
用filter表过滤分组数据
• filter表主要负责常规的IP分组数据过滤。通 过考察分组数据的头信息与事先定义好的 匹配规则，iptables将决定怎样处理当前的 分组数据。处理的结果可以是抛弃 （DROP）、备案（LOG)、接受 （ACCEPT）或拒绝（REJECT）分组数 据，也可以采取其他更复杂的处理方式。 filter表包含三个内置的链表：INPUT、 OUTPUT和FORWARD。
• • • • • iptables iptables iptables iptables iptables DROP • iptables DROP -A INPUT –s 192.168.13.20 –j REJECT -A OUTPUT -d 192.168.13.20 -j REJECT -A INPUT –s 192.168.13.20 –p tcp –dport telnet –j DROP -A INPUT –s 0/0 -i eth0 –p tcp –j ACCEPT -A INPUT –p tcp --destination-port telnet -i eth0 –j -I INPUT 1 –p tcp --destination-port telnet -i eth1 –j
用filter表过滤分组数据
filter表是iptables默认的过滤表，也 是一个基本表。对于普通的Linux系统而 言，通常只需设置filter表即可。filter表包 含三个内置链表： 1. INPUT链表 2. FORWARD链表 3. OUTPUT链表
设置iptables防火墙
以下两条命令显示filter过滤表的内容： • iptables -t filter -L • service iptables status • 下面的命令增加规则：
防火墙与端口扫描
iptables是目前非常流行，也是RHEL6等Linux 系统普遍采用的防火墙软件。iptables是一种IP分 组数据过滤机制，具有下列特点： 1.与Linux系统内核gaodujicheng 2.分组数据网络连接状态检测 3.基于TCP头信息中的标志字段过滤分组数据 4.充分利用Linux的系统日志功能，使用户能够设 定与调整日志信息的级别 5.限制响应 的频率