资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,1,防火墙的体系结构,防火墙,是一套能够在两个网络间,对网络进行隔离并实现有条件通信的软硬件设备的组合,.,防火墙属于网络安全设备,通常位于网络边界,用于保护局域网内网和,DMZ,区,免受来自因特网的攻击,或者保护,DMZ,区不受到来自内网的攻击。防火墙的工作实质是进行报文过滤。,防火墙通常有,3,个接口(端口):,WAN,接口:用于连接因特网,通常称为外网口;,LAN,口:用于连接局域网,通常称为内网口;,DMZ,:用于连接,DMZ,区的服务器。,2,2,防火墙配置策略,防火墙的配置策略有两种,默认允许的策略:配置指定禁止不允许访问的规则;,默认禁止的策略:配置指定允许访问的规则。通常采用默认禁止的策略。,3,3,防火墙数据报文的流动过程,1,因特网或内网主机访问,DMZ,区服务器,因特网主机访问,DMZ,区中的,Web,服务,局域网主机访问,DMZ,区中的,Web,服务,2,DMZ,区服务器主动访问因特网的,Web,服务,4,4,防火墙的配置与实现,1,创建防火墙规则文件,由于是在已实现的代理服务功能的基础上,增添防火墙功能,因此将代理服务的规则文件,myproxy2.sh,,通过复制的方式获得新的,myfirewall.sh,规则文件,然后通过编辑和增加规则来实现一个完整的代理服务,+,防火墙功能的规则文件。,2,编辑,myfirewall.sh,规则文件,编辑修改后的新规则文件,请参阅教材。,5,4,防火墙的配置与实现,3,启用防火墙规则,并进行访问测试。,rootRHEL5 sysconfig#service iptables stop,rootRHEL5 sysconfig#./myfirewall.sh,4,代理与防火墙服务的管理,代理和防火墙服务功能运行正常后,可将运行后的规则保存到,/etc/sysconfig/iptables,规则文件中,以后就可使用“,service iptables start|restart|stop”,命令来启动、重启或停止代理与防火墙服务了。,6,防火墙,功能,数据包过滤:,对进入和流出的,IP,数据包进行过滤,屏蔽不符合要求的数据包,保证内部网络的安全。,IP,地址的转换,:实现网络地址转换(,NAT,),从而解决局域网中主机使用内部,IP,地址也能够顺利访问外部网络的应用需求,记录,Internet,的活动,保护内部网络信息,外部网络,内部网络,防火墙,UTM-1 570,8,防火墙按照运作方式运作方式分类:,包过滤式、,代理式、状态检测,包过滤式防火墙,是用一个软件查看所流经的数据包的包头,由此决定整个包的命运。它可能会决定丢弃这个包,可能会接受这个包,也可能执行其它更复杂的动作。,工作在,IP,层,工作方式:检查出入防火墙的每一个,IP,数据包,.,来源、目的,IP,地址;来源、目的端口号;协议类型,(TCP,包、,UDP,包和,ICMP,包,),;封包类型;封包流向;封包进入防火墙的网卡接口;,TCP,连接状态;或它们的组合来确定是否允许该数据包通过。,如:允许内网用户访问公网的,WEB,服务,过滤规则,源,IP,目的,IP,源端口,目的端口,协议类型,网卡接口,包流向,动作,1,*,*,*,80,TCP,*,出,允许,ACCEPT,2,*,*,80,*,TCP,*,进,允许,ACCEPT,3,拒绝,REJECT,丢弃,DROP,9,图,11-2,包过滤型防火墙的一种常用结构,10,代理防火墙,(,Proxy Firewall,),运行在应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。,用代理服务器完成,和数据包过滤的共同特点:,就是仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。,状态监测防火墙,(,Stateful Inspection Firewall,),又称动态包过滤防火墙。,主要特点有:,高安全性,可伸缩性和可扩展性,应用范围广,11,3.Linux,防火墙,从,1.1,内核开始,Linux,系统就已经具有包过滤功能了,随着,Linux,内核版本的不断升级,Linux,下的包过滤系统经历了如下,3,个阶段,:,在,2.0,内核中,网络防火墙的操作工具名称是,ipfwadm,在,2.2,内核中,网络防火墙的操作工具名称是,ipchains,在,2.4,之后的内核中,使用,netfilter,作为防火墙系统,防火墙的操作工具名称是,iptables,12,11.1.2 IP,包过滤与网络地址转换,filter,简介,netfilter,是,Linux,内核中集成的,IP,信息包过滤系统。由两个组件组成:,netfilter,:是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。,Iptables,:,是,Linux,系统中为用户提供的,netfilter,管理工具,用于实现对,Linux,内核中网络防火墙的管理。,13,2.,使用,iptables,能做什么?,包过滤,网络地址转换,可以用它来配置,IP Masquerade,实现多台客户机共用一个外部,IP,接入,Internet,配置透明代理,使客户端无需进行特殊设置即可使用代理服务器访问网上资源。,14,图,11-2 iptables,的工作流程,当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件。如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略,(Policy),来处理该数据包。数据包在,filter,表中的流程所示。有数据包进入系统时,系统首先根据路由表决定将数据包发给哪一条链,则可能有以下三种情况,IP,包过滤,15,网络地址转换,网络地址转换,(NAT,Netword Address Translation),就是用来将,IP,报文中的目的或源私有地址,(10.0.x.x,、,192.168.x.x,、,172.x.x.x),修改成公有地址的一种设备,利用,NAT,可实现私有地址与公用地址的相互转换。,解决,IP,地址不足的问题,而且还能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。,两种地址转换,将内网地址转换为外网地址,多个计算机转换成一个,IP,地址,节省资源。,16,iptables,缺省具有,3,个表,Filter,:,用于设置包过滤,NAT,:,用于设置地址转换,Mangle,:用于策略路由和网络流量整形等特殊应用,表由“链”组成,标准规则链,Filter,表:,INPUT,、,FORWARD,、,OUTPUT,NAT,表:,PREROUTING,、,POSTROUTING,、,OUTPUT,Mangle,表:,PREROUTING,、,POSTROUTING,、,INPUT,、,OUTPUT,和,FORWARD,用户自定义的链,filter/iptables,架构,表,链,规则,17,(1),INPUT,链,信息包源自外界并前往系统,数据包的目的地址是本机,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉。,(2),forward,链,源自外部系统并前往外部系统的信息包被传递到,FORWARD,链。数据包的目的地址不是本机,这个包将被转发。,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检,系统就会将这个包丢掉。,(3),output,链,如果信息包源自系统内部或系统所连接的内部网上的其它源,并且此信息包要前往另一个外部系统,那么信息包被传递到,OUTPUT,链。数据包是由本地系统进程产生的。,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉。,18,(4),PREROUTING,链,网络数据包,到达,服务器时可以被修改,是源地址转换,要把你的内网地址转换成公网地址才能让你上网,(5)POSTROUTING,链,网络数据包在即将从服务器,发出,时可以被修改,是目的地址转换,要把别人的公网,IP,换成你们内部的,IP,,才让访问到你们内部受防火墙保护的机器。,19,默认拒绝所有数据包,首先拒绝所有的输入、输出、转发包(把三条链的默认策略设置成,DENY,),然后根据需要逐个打开要开放的各项服务。,没有明确确允许的都被拒绝(安全性搞、但不灵活),默认接受所有数据包,首先默认允许接受所有的输入、输出、转发包(把三条链的默认策略设置成,ACCEPT,),然后拒绝某些危险包,如,IP,欺骗包、广播包、,ICMP,服务类型攻击等。同时检查系统上的各种服务,禁用所有不需要的服务。,没有被拒绝的都被允许(灵活方便但安全),设置防火墙启动脚本,4.,用,iptables,进行包过滤的策略,20,Iptables,:,是主要的管理命令,,,对网络防火墙功能的管理都是通过,iptables,命令实现的,可以对,Linux,内核中的,netfilter,防火墙进行各种策略的设置,命令的设置在系统中是即时生效的,使用,iptables,命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失,5.,iptables,软件包中的管理命令(,1,),21,保存当前系统中的防火墙设置,#,iptables-save,将配置信息显示到标准输出,(,屏幕,),中,#,iptables-save /etc/sysconfig/ipt.v1.0,将命令输出结果重定向到指定的文件中,使用,iptables-save,命令可以将多个版本的配置保存到不同的文件中,#,service iptables save,配置内容将保存在“,/etc/sysconfig/iptables,”,文件中,文件原有的内容将被覆盖,在保存防火墙当前配置前应先将原有配置进行备份,cp/etc/sysconfig/iptables iptables.raw,5.iptables,软件包中的管理命令,(,2,),22,iptables-restore,:,可以将使用,iptables-save,命令保存的防火墙策略配置恢复到当前系统中,iptables-restore,命令可恢复使用,iptables-save,命令保存的防火墙设置内容,iptables-restore,命令从标准输入或输入重定向文件中获取防火墙的设置内容,#,iptables-restore -o ppp0-j MASQUERADE,“,-t nat-A POSTROUTING,”,表示在,nat,表的,POSTROUTING,规则链中添加规则,“-s 192.168.1.0/24”,表示数据包的源地址为“,192.168.1.0/24”,子网,“-o ppp0”,表示数据包的流出网络接口是“,ppp0”,,“,ppp0”,网络接口具有公网,IP,地址,“-j MASQUERADE”,表示对数据包进行的处理,即将符合条件的数据包进行,IP,伪装,46,运行脚本文件:(有两种),(1)bash+,脚本名称,在这里是:,bash iptables.sh,(2)./iptables.sh,运行这个命令之前要赋予执行的权限,即:,chmid o+x iptables.sh,启动一下服务:,service iptables restart,再运行一下脚本:,bash iptables.sh,47,当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件。如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略,(Policy),来处理该数据包。数据包在,filter,表中的流程所示。有数据包进入系统时,系统首先根据路由表决定将数据包发给哪一条链,则可能有以下三种情况,合理安排策略顺序:,具体策略在上,非具体策略在下;,拒绝策略在上,允许策略在下;,48,11.1.5,防火墙配置实例,假设某一单位租用,DDN,专线上网,网络拓扑如图,14-12,所示,,eth0:198.199.37.254,,,eth1:198.168.80.254,。以上的,IP,地址都是,Internet,上真实的,IP,,故没有用到,IP,伪装。并且,我们假设在内部网中存在以下服务器:,WWW,服务器:,198.168.80.11,FTP,服务器:,198.168.80.12,E-mail,服务器:,198.168.80.13,49,1,、查看本机关于,iptables,的设置情况,#iptables-L-n,2,、清除原有规则,不管你在安装,linux,时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在,filter,的所有规则,.,#iptables-F,清除预设表,filter,中的所有规则链的规则,#iptables-X,清除预设表,filter,中使用者自定链中的规则,3.,保存规则,#/etc/rc.d/init.d/iptables save,这样就可以写到,/etc/sysconfig/iptables,文件里了,.,写入后记得把防火墙重起一下,才能起作用,.,#service iptables restart,现在,iptables,配置表里什么配置都没有了。,50,4,、设定预设规则,#iptables,-P,INPUT,DROP,这一条命令将会为你构建一个非常“安全”的防火墙,我很难想象有哪个,hacker,能攻破这样的机器,因为它将所有从,网络,进入你机器的,数据,丢弃,(drop),了。这当然是安全过头了,此时你的机器将相当于没有,网络,。如果你,ping localhost,,你就会发现屏幕一直停在那里,因为,ping,收不到任何回应。,#iptables,-P,OUTPUT,ACCEPT,流出的包我们不用做太多限制,而是采取,ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过,.,#iptables -,P,FORWARD,DROP,不转发任何数据包。,注,:,如果你是远程,SSH,登陆的话,当你输入第一个命令回车的时候就应该掉了,.,因为你没有设置任何规则,.,51,5,、添加规则,允许来自,Internet,的用户的,WWW,(端口号,80,,服务名,www,),请求数据包到内网。数据包是双向的,我们不仅仅要设置数据包出去的规则,还要设置数据包返回的规则,iptables-A FORWARD-p tcp-d 198.168.80.11-dport,www,-i eth0-j ACCEPT,FTP,服务有点特别,因为需要两个端口,因为,FTP,有命令通道和数据通道。其中命令端口为,21,(服务名,ftp,),,数据端口为,20,(服务名,ftp-data,),iptables-A FORWARD-p tcp-d 198.168.80.12-dport,ftp,-i eth0-j ACCEPT,iptables-A FORWARD-p tcp-d 198.168.80.12-dport,ftp-data,-i eth0-j ACCEPT,允许来自,Internet,的用户的,SMTP,、,POP3,请求数据包到内网,iptables-A FORWARD-p tcp-d 198.168.80.13-dport smtp-i eth0-j ACCEPT,iptables-A FORWARD-p tcp-d 198.168.80.13-dport pop3-i eth0-j ACCEPT,接受来自整个内网的数据包过滤,iptables-A FORWARD-s 198.168.80.0/24-i eth1-j ACCEPT,对不管来自哪里的,ICMP,包都进行限制,允许每秒通过一个包,该限制触发的条件是,10,个包。,iptables-A FORWARD-p icmp-m limit-limit 1/s-limit-burst 10-j ACCEPT,52,Shell,脚本,如果愿意在每次引导系统时自动恢复该规则集,则可以将上面指定的这条命令放到任何一个初始化,Shell,脚本中。,#!/bin/sh,表示下面脚本要使用系统中的,Bourne shell,解释器来解释执行,/sbin/iptables-F,/sbin/iptables-A FORWARD-p tcp-d 198.168.80.11-dport www-i eth0-j ACCEPT,/sbin/iptables-A FORWARD-p tcp-d 198.168.80.12-dport ftp-i eth0-j ACCEPT,/sbin/iptables-A FORWARD-p tcp-d 198.168.80.12-dport ftp-data-i eth0-j ACCEPT,/sbin/iptables-A FORWARD-p tcp-d 198.168.80.13-dport smtp-i eth0-j ACCEPT,/sbin/iptables-A FORWARD-p tcp-d 198.168.80.13-dport pop3-i eth0-j ACCEPT,/sbin/iptables-A FORWARD-s 198.168.80.0/24-i eth1-j ACCEPT,/sbin/iptables-A FORWARD-p icmp-m limit-limit 1/s-limit-burst 10-j ACCEPT,53,远程,SSH,登陆,开启,22,端口,.,#iptables-A INPUT-p tcp-dport 22-j ACCEPT,#iptables-A OUTPUT-p tcp-sport 22-j ACCEPT,注,:,这个规则,如果你把,OUTPUT,设置成,DROP,的就要写上这一步,好多人都是忘记了写这一部规则导致,始终无法,SSH.,在远程一下,.,54,如果远程,SSH,登陆,开启,22,端口,#iptables-A OUTPUT-p tcp-sport 22-j ACCEPT,如果开启了,web,服务器,OUTPUT,设置成,DROP,的话,同样也要添加一条链,:,#iptables-A OUTPUT-p tcp-sport 80-j ACCEPT,如果做了,WEB,服务器,开启,80,端口,.,#iptables-A INPUT-p tcp-dport 80-j ACCEPT,如果做了邮件服务器,开启,25,110,端口,.,#iptables-A INPUT-p tcp-dport 110-j ACCEPT,#iptables-A INPUT-p tcp-dport 25-j ACCEPT,如果做了,FTP,服务器,开启,21,端口,#iptables-A INPUT-p tcp-dport 21-j ACCEPT,#iptables-A INPUT-p tcp-dport 20-j ACCEPT,如果做了,DNS,服务器,开启,53,端口,#iptables-A INPUT-p tcp-dport 53-j ACCEPT,55,允许,icmp,包通过,也就是允许,ping,#iptables-A OUTPUT-p icmp-j ACCEPT,#iptables-A INPUT-p icmp-j ACCEPT,限制到某台机器,如,:,我们只允许,192.168.0.3,的机器进行,SSH,连接,#,iptables-A INPUT-s 192.168.0.3-p tcp-dport 22-j ACCEPT,如果要允许,或限制一段,IP,地址可用,192.168.0.0/24,表示,192.168.0.1-255,端的所有,IP.,#,iptables -A INPUT -p tcp-m tcp-dport 22-j ACCEPT,#,iptables -D INPUT -p tcp-dport 22-j ACCEPT,保存,凡是是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存,.,写入到,/etc/sysconfig/iptables,文件里,.,#/etc/rc.d/init.d/iptables save,开启转发功能,(,在做,NAT,时,FORWARD,默认规则是,DROP,时,必须做,),#,iptables-A FORWARD-i eth0-o eth1-m state-state RELATED,ESTABLISHED-j ACCEPT,#iptables-A FORWARD-i eth1-o eh0-j ACCEPT,56,防火墙配置实例,2,1,、企业环境,230,台客户机,IP,地址范围,10.10.1.1,10.10.1.254/24,Mail,服务器,10.10.1.1/24,FTP,服务器,10.10.1.2/24,WEB,服务器,10.10.1.3/24,57,58,需求分析,所有内网计算机要访问互联网,Mail,和,FTP,服务器对内部员工开放,对外发布,Web,站点,管理员通过外网对,Web,站点进行远程管理,首先删除所有规则设置,将默认规则设置为,DROP,然后开启防火墙对于客户端的访问限制,打开,WEB,、,MSN,、,QQ,及,MAIL,的相应端口,允许外部客户端登录,WEB,服务器的,80,、,22,端口。,59,解决方案,1,、配置默认策略,默认,iptables,已经被安装好了,(,1,)删除规则,iptables F,清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则,iptables X,清除预设表,filter,中使用者自定链中的规则,iptables Z,清除预设表,filter,中使用者自定链中的规则,60,(,2,)设置默认策略,iptables P,INPPUT,DROP,iptables P,FORWARD,DROP,iptables P,OUTPUT,ACCEPT,iptables,t net,P,PREROUTING,ACCEPT,iptables,t net,P,OUTPUT,ACCEPT,iptables,t net,P,POSTROUTING,ACCEPT,设置默认策略为关闭,filter,表的,INPPUT,及,FORWARD,链开启,OUTPUT,链,,nat,表的三个链,PREROUTING,、,OUTPUT,、,POSTROUTING,全部开启哈,默认全部链都是开启的,所以有些命令可以不操作,另外,mangle,表本文没用到,所以不做处理,,mangle,主要用在数据包的特殊变更处理上,比如修改,TOS,等特性。,61,2,、设置回环地址,iptables-A,INPUT,-i,lo,-j ACCEPT,有些服务的测试需要使用回环地址,为了保证各个服务的正常工作,需要允许回环地址的通信。,3,、连接状态设置,iptables-A INPUT,-m state,-state ESTABLISHED,RELATED,-j ACCEPT,为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置,连接跟踪存在四种数据包状态,NEW,想要新建连接的数据包,INVALID,无效的数据包,例如损坏或者不完整的数据包,ESTABLISHED,已经建立连接的数据包,RELATED,与已经发送的数据包有关的数据包,62,4,、设置,80,端口转发,iptables,-A FORWARD,-p tcp,-dport 80,-j ACCEPT,公司网站需要对外开放,所以我们需要开放,80,端口,5,、,DNS,相关设置,iptables,-A FORWARD,-p tcp,-dport 53,-j ACCEPT,iptables,-A FORWARD,-p udp,-dport 53,-j ACCEPT,为了客户端能够正常使用域名访问互联网,我们还需要允许内网计算机与外部,DNS,服务器的数据转发。,开启,DNS,使用,UDP,、,TCP,的,53,端口,63,6,、允许访问服务器的,SSH,iptables,-A INPUT,-p tcp,-dport 22,-j ACCEPT,管理员会通过外网进行远程管理,所以我们要开启,SSH,使用的,TCP,协议,22,端口,7,、允许内网主机登录,MSN,和,QQ,相关设置,iptables,-A FORWARD,-p tcp,-dport 1863,-j ACCEPT,iptables,-A FORWARD,-p tcp,-dport 443,-j ACCEPT,iptables,-A FORWARD,-p tcp,-dport 8000,-j ACCEPT,iptables,-A FORWARD,-p udp,-dport,8000,-j ACCEPT,iptables,-A FORWARD,-p udp,-dport,4000,-j ACCEPT,QQ,能够使用,TCP80,、,8000,、,443,及,UDP8000,、,4000,登录,而,MSN,通过,TCP1863,、,443,验证。因此只需要允许这些端口的,FORWARD,转发即可以正常登录。,64,8,、允许内网主机收发邮件,客户端发送邮件时访问邮件服务器的,TCP25,端口。接收邮件时访问,可能使用的端口则较多,,UDP,协议以及,TCP,协议的端口:,110,、,143,、,993,及,995,smtp:,#,iptables,-A FORWARD,-p tcp-dport 25-j ACCEPT,pop3:,#iptables,-A FORWARD,-p tcp,-dport 110,-j ACCEPT,#iptables,-A FORWARD,-p udp,-dport 110,-j ACCEPT,imap:,#iptables-,A FORWARD,-p tcp,-dport 143,-j ACCEPT,#iptables,-A FORWARD,-p udp,-dport 143,-j ACCEPT,imaps:,#iptables,-A FORWARD,-p tcp,-dport 993,-j ACCEPT,#iptables,-A FORWARD,-p udp,-dport 993,-j ACCEPT,pop3s:,#iptables-,A FORWARD,-p tcp,-dport 995,-j ACCEPT,#iptables-,A FORWARD,-p udp,-dport 995,-j ACCEPT,65,9,、,NAT,端口映射设置,iptables,-t nat,-A POSTROUTING,-o ppp0,-s 10.10.1.0/24,-j MASQUERADE,由于局域网的地址为私网地址,在公网上不合法,所以必须将私网地址转为服务器的外部地址进行地址映射,连接外网接口为,ppp0,10,、内网机器对外发布,WEB,网站,iptables,-t nat,-A PREROUTING,-i ppp0,-p tcp,-dport 80,-j DNAT,-to-destination,192.168.0.3:80,内网,WEB,服务器,IP,地址为,10.10.1.3,,我们需要进行如下配置,当公网客户端访问服务器时,防火墙将请求映射到内网的,10.10.1.3,的,80,端口,66,11,、保存与恢复,iptables,配置,iptables-save /etc/iptables-save,保存,iptables-restore /etc/iptables-save,恢复:,service iptables save,如果要在服务或系统重启后依然生效,12,、禁止访问具体域名和,IP,地址,#,iptables-A FORWARD,-d url/url,-j DROP,禁止访问,QQ,主页,#iptables-A FORWARD,-d 119.147.15.17,-j DROP,禁止访问指定,IP,地址:,67,13.,禁止,INTERNET,上计算机通过,ICMP,协议,PING,到代理服务器的,PPP0,接口。,#iptables A INPUT,-i ppp0,-p icmp,-j DROP,此时,局域网中的计算机还是可以,PING,通,INTERNET,上的计算机的,因为从局域网到,INTERNET,的数据包使用,NAT,方式传输,仅经过,PREROUTING,链,FORWARD,链,POSTROUTING,链,链这条通道,并没有经过,INPUT,和,OUPUT,链。,68,本章小结,配置,Linux,防火墙,防火墙简介,什么是防火墙,防火墙的分类,IP,包过滤与网络地址转换,Netfilter,简介,IP,过滤包,网络地址转换,使内核支持防火墙,内核模块的加载,包过滤管理工具,安装,iptables,软件包,启动和停止,iptables,iptables,命令用法,对链的操作,对规则的操作,Iptables,的选项,规则的处理动作,防火墙配置实例,
展开阅读全文