Linux下iptables的研究與實(shí)現(xiàn).doc

河 南 工 業(yè) 職 業(yè) 技 術(shù) 學(xué) 院畢業(yè)設(shè)計(jì)題目：Linux下iptables網(wǎng)絡(luò)防火墻的研究與實(shí)現(xiàn) 專(zhuān)業(yè)： 網(wǎng)絡(luò)0801 姓名： 曹思?jí)?指導(dǎo)教師： 邱建新 摘 要Linux2.4 內(nèi)核中Netfilter/Iptables的出現(xiàn)，為構(gòu)建Linux 下防火墻提供了很好的平臺(tái)。Iptables 是在Linux 操作系統(tǒng)下基于2.4之上內(nèi)核版本的集成網(wǎng)絡(luò)安全工具包。該工具通過(guò)編程可以實(shí)現(xiàn)多種網(wǎng)絡(luò)安全功能，如：數(shù)據(jù)包過(guò)濾、狀態(tài)保持、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)以及抵抗攻擊等等。本文主要是針對(duì)Linux下iptables的的應(yīng)用進(jìn)行學(xué)習(xí)與研究，結(jié)構(gòu)上可以分為三個(gè)部分：Linux防火墻的概述，iptables的的簡(jiǎn)介以及如何使用iptables來(lái)為我們的日常工作所服務(wù)。例如在我們的日常工作中的應(yīng)用到的過(guò)濾網(wǎng)址、IP，禁用端口、協(xié)議等等。利用iptables這個(gè)工具在Linux服務(wù)器上實(shí)現(xiàn)安全穩(wěn)定、功能強(qiáng)大的防火墻。目前這也是被企業(yè)和高校廣泛采用的一種比較成熟的技術(shù)。本次畢設(shè)課題研究的實(shí)驗(yàn)環(huán)境均在虛擬機(jī)上實(shí)現(xiàn)，使用RHEL 4 AS系統(tǒng)和CentOS 4系統(tǒng)。關(guān)鍵詞：Linux，防火墻，iptables，規(guī)則，過(guò)濾目 錄第一章 Linux防火墻概述11.1防火墻簡(jiǎn)介11.2 Linux包過(guò)濾防火墻的架構(gòu)41.3 Linux防火墻的安裝、啟動(dòng)和關(guān)閉5第二章 iptables簡(jiǎn)介92.1 iptables的基本概念92.2 iptables數(shù)據(jù)包的傳輸過(guò)程102.3 激活I(lǐng)P包轉(zhuǎn)發(fā)功能11第三章 iptables的使用133.1 iptables的命令格式133.2 iptables命令的使用15第四章 iptables實(shí)現(xiàn)NAT服務(wù)214.1 NAT服務(wù)概述214.2 利用iptables實(shí)現(xiàn)NAT服務(wù)23第五章 iptables技巧實(shí)例295.1 禁止訪問(wèn)不健康的網(wǎng)站295.2 禁止某些客戶上網(wǎng)295.3 禁止客戶使用某些服務(wù)305.4 禁止使用ICMP協(xié)議305.5 利用字符串匹配過(guò)濾視頻網(wǎng)站325.6 利用iptables的定時(shí)功能345.7 利用iplimit參數(shù)設(shè)置最大連接數(shù)35第六章 致謝37參考文獻(xiàn)38第一章 Linux防火墻概述1.1防火墻簡(jiǎn)介1. 防火墻的功能防火墻是位于不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間，對(duì)網(wǎng)絡(luò)進(jìn)行隔離并實(shí)現(xiàn)有條件通信的一系列軟件/硬件設(shè)備的集合。它通過(guò)訪問(wèn)控制機(jī)制確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部請(qǐng)求可以訪問(wèn)內(nèi)部服務(wù)。其基本功能是分析出入防火墻的數(shù)據(jù)包，根據(jù)IP包頭結(jié)合防火墻的規(guī)則，來(lái)決定是否接收或允許數(shù)據(jù)包通過(guò)。防火墻系統(tǒng)可以由一臺(tái)路由器，也可以由一臺(tái)或一組主機(jī)組成。它通常被放置在網(wǎng)絡(luò)入口處，所有內(nèi)外部網(wǎng)絡(luò)通信數(shù)據(jù)包都必須經(jīng)過(guò)防火墻，接受防火墻的檢查，只有符合安全規(guī)則的數(shù)據(jù)才允許通過(guò)。通過(guò)使用防火墻可以實(shí)現(xiàn)以下功能： 保護(hù)內(nèi)部網(wǎng)絡(luò)中易受攻擊的服務(wù)。 控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)。 隱藏內(nèi)部網(wǎng)絡(luò)的IP地址及結(jié)構(gòu)的細(xì)節(jié)，提高網(wǎng)絡(luò)的保密性。 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控和審計(jì)。 集中管理內(nèi)網(wǎng)的安全性，降低管理成本。2. 防火墻的發(fā)展史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾(Packet filter)技術(shù)。下圖（1-1）表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。圖1-1第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類(lèi)型的防火墻賦予了全新的意義，可以稱(chēng)之為第五代防火墻。3.防火墻的分類(lèi)根據(jù)動(dòng)作方式的不同，通常把防火墻分為包過(guò)濾型和應(yīng)用級(jí)網(wǎng)關(guān)兩大類(lèi)。（1）包過(guò)濾防火墻（Packet Filter） 包過(guò)濾防火墻通常安裝在路由器或者安裝了網(wǎng)絡(luò)操作系統(tǒng)的主機(jī)上。它在網(wǎng)絡(luò)層根據(jù)配置好的包過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，其工作方式為：包過(guò)濾規(guī)則存儲(chǔ)對(duì)應(yīng)的包過(guò)濾設(shè)備端口，檢查出入該防火墻端口的每一個(gè)IP數(shù)據(jù)包頭和TCP頭或UDP頭來(lái)決定是否允許數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻的優(yōu)點(diǎn)是它對(duì)于用戶來(lái)說(shuō)是透明的，處理速度快，而且由于工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)，因此不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和維護(hù)。缺點(diǎn)是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊。（2）應(yīng)用級(jí)網(wǎng)關(guān)（Application-level Gateway） 應(yīng)用級(jí)網(wǎng)關(guān)又稱(chēng)代理服務(wù)器。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告，當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用級(jí)網(wǎng)關(guān)比單一的包過(guò)濾更為可靠，而且會(huì)詳細(xì)地記錄所有的訪問(wèn)狀態(tài)信息。其不足之處是訪問(wèn)速度慢，因?yàn)樗辉试S用戶直接訪問(wèn)網(wǎng)絡(luò)，其次應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一個(gè)特定的因特網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，另外也不是所有的因特網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。 1.2 Linux包過(guò)濾防火墻的架構(gòu)iptables是一個(gè)免費(fèi)的包過(guò)濾防火墻，它伴隨著內(nèi)核的發(fā)展而逐漸演變，大致經(jīng)歷了下面4個(gè)階段： 在1.1內(nèi)核中，采用ipfw來(lái)操作內(nèi)核包過(guò)濾規(guī)則。 在2.0內(nèi)核中，采用ipfwadm來(lái)操作內(nèi)核包過(guò)濾規(guī)則。 在2.2內(nèi)核中，采用ipchains來(lái)控制內(nèi)核包過(guò)濾規(guī)則。 在2.4內(nèi)核中（如Red Hat 9.0、RHEL），采用一個(gè)全新的內(nèi)核包過(guò)濾管理工具iptables。 iptables只是防火墻與用戶之間的接口，真正起到防火墻作用的是Linux內(nèi)核中運(yùn)行的netfilter。Linux平臺(tái)下的包過(guò)濾防火墻由netfilter組件和iptables組件組成，其中netfilter運(yùn)行在內(nèi)核態(tài)，而iptables運(yùn)行在用戶態(tài)，用戶通過(guò)iptables命令來(lái)調(diào)用netfilter來(lái)實(shí)現(xiàn)防火墻的功能。（1）netfilter組件netfilter是Linux內(nèi)核中的一個(gè)用于擴(kuò)展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層框架。該框架定義了包過(guò)濾子系統(tǒng)功能的實(shí)現(xiàn)，提供了filter、nat和mangle3個(gè)表，默認(rèn)使用的是filter表。每個(gè)表中包含有若干條內(nèi)建的鏈（chains），用戶可在表中創(chuàng)建自定義的鏈。在每條鏈中，可定義一條或多條過(guò)濾規(guī)則（rules）。每條規(guī)則應(yīng)指定所要檢查的包的特征以及如何處理與這對(duì)應(yīng)的包，這被稱(chēng)為目標(biāo)（target）。目標(biāo)值可以是用戶自定義的一個(gè)鏈名，也可以是ACCEPT、DROP、REJECT、RETURN等值。（2）iptables組件iptables組件是一個(gè)用來(lái)指定netfilter規(guī)則和管理內(nèi)核包過(guò)濾的工具，用戶通過(guò)它來(lái)創(chuàng)建、刪除或插入鏈，并可以在鏈中插入、刪除和修改過(guò)濾規(guī)則。iptables僅僅是一個(gè)包過(guò)濾工具，對(duì)過(guò)濾規(guī)則的執(zhí)行則是通過(guò)netfilter和相關(guān)的支持模塊來(lái)實(shí)現(xiàn)的。1.3 Linux防火墻的安裝、啟動(dòng)和關(guān)閉iptables防火墻內(nèi)置于RedHat系統(tǒng)內(nèi)核中，所以它是隨系統(tǒng)的安裝而自動(dòng)安裝的?？墒褂萌缦旅顧z查是否已安裝（如下圖）：圖1-2 檢查iptables是否安裝安裝RHEL 4 AS時(shí)系統(tǒng)會(huì)提示是否開(kāi)啟防火墻，默認(rèn)情況下將開(kāi)啟防火墻。由于系統(tǒng)的防火墻功能是使用iptables實(shí)現(xiàn)的，因此系統(tǒng)會(huì)根據(jù)用戶的設(shè)置在iptables中添加相應(yīng)的規(guī)則。如果在安裝時(shí)選擇禁用防火墻，則在安裝完成后可在終端命令窗口中執(zhí)行“setup”命令將彈出“配置應(yīng)用程序” 窗口（如下圖1-3）。圖1-3 “配置應(yīng)用程序”窗口選擇Firewall configuration選項(xiàng)，則會(huì)進(jìn)入防火墻配置窗口如圖1-4。圖1-4 “防火墻配置”窗口圖1-5 “防火墻配置定制”窗口 完成以上配置后，可在終端命令窗口中執(zhí)行如下命令啟動(dòng)iptables防火墻如圖1-6：圖1-6 啟動(dòng)iptables防火墻第二章 iptables簡(jiǎn)介2.1 iptables的基本概念在使用iptables之前我們先要理解規(guī)則、鏈、表這3個(gè)概念以及iptables傳輸數(shù)據(jù)包的過(guò)程。 規(guī)則 規(guī)則(rules)就是網(wǎng)絡(luò)管理員預(yù)先定義的條件，每條規(guī)則的定義方式一般是“如果封包符合這樣的條件就這樣處理該數(shù)包”。 鏈 鏈(chains)是數(shù)據(jù)包傳輸?shù)穆窂?，每一條鏈中可以有一條或數(shù)條規(guī)則。 表 iptables內(nèi)置了filter表、nat表和mangle表用于實(shí)現(xiàn)包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和包重構(gòu)的功能。（1）filter表filter表是iptables默認(rèn)的表，如果沒(méi)有指定使用哪個(gè)表，iptables默認(rèn)使用filter表來(lái)執(zhí)行所有的命令。filter表根據(jù)系統(tǒng)管理員預(yù)定義的一組規(guī)則過(guò)濾符合條件的數(shù)據(jù)包。在filter表中只允許對(duì)數(shù)據(jù)包進(jìn)行接收、丟棄的操作，而無(wú)法對(duì)數(shù)據(jù)包進(jìn)行更改。（2）nat表nat表主要是用于網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，該表可以實(shí)現(xiàn)一對(duì)一、一對(duì)多、多對(duì)多等NAT工作。NAT表包含了PREROUTING鏈、OUTPUT鏈和POSTROUTING鏈。其中PREROUTING鏈用于處理剛剛進(jìn)入網(wǎng)絡(luò)層未進(jìn)行路由判斷的數(shù)據(jù)包，OUTPUT鏈用于處理在路由之前本地生成的數(shù)據(jù)包，POSTROUTING鏈處理在路由判斷之后即將通過(guò)網(wǎng)卡發(fā)送出去的數(shù)據(jù)包。（3）mangle表某些特殊應(yīng)用可能需要改寫(xiě)數(shù)據(jù)包的一些傳輸特性，例如更改數(shù)據(jù)包的TTL和TOS等，mangle表主要用于對(duì)指定包的傳輸特性進(jìn)行修改。2.2 iptables數(shù)據(jù)包的傳輸過(guò)程數(shù)據(jù)包通過(guò)iptables的具體流程如圖2-1所示。圖2-1iptables數(shù)據(jù)包傳輸?shù)倪^(guò)程由圖可知，當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入計(jì)算機(jī)的網(wǎng)絡(luò)接口時(shí)，數(shù)據(jù)首先進(jìn)入POSTROUTING鏈，然后內(nèi)核根據(jù)路由表決定數(shù)據(jù)包的目標(biāo)。若數(shù)據(jù)包的目的地址是本機(jī)，則將數(shù)據(jù)包送往INPUT鏈進(jìn)行規(guī)則檢查，當(dāng)數(shù)據(jù)包進(jìn)入INPUT鏈后，系統(tǒng)的任何進(jìn)程都會(huì)收到它，本機(jī)上運(yùn)行的程序可以發(fā)送該數(shù)據(jù)包，這些數(shù)據(jù)包會(huì)經(jīng)過(guò)OUTPUT鏈，再POSTROUTING鏈發(fā)出；若數(shù)據(jù)包的目的地址不是本機(jī)，則檢查內(nèi)核是否允許轉(zhuǎn)發(fā)，若允許，則將數(shù)據(jù)包送FORWARD鏈進(jìn)行規(guī)則檢查，若不允許，則丟棄該數(shù)據(jù)包。若是防火墻主機(jī)本地進(jìn)程產(chǎn)生并準(zhǔn)備發(fā)出的包，則數(shù)據(jù)包被送往OUTPUT鏈進(jìn)行規(guī)則檢查。2.3 激活I(lǐng)P包轉(zhuǎn)發(fā)功能如果要把Linux配置成網(wǎng)關(guān)防火墻，內(nèi)核必須打開(kāi)IP包轉(zhuǎn)發(fā)功能（即路由功能），這樣一個(gè)數(shù)據(jù)包才能被送到FORWARD鏈進(jìn)行規(guī)則檢查，否則與防火墻相連的兩邊的網(wǎng)絡(luò)是完全隔離的。打開(kāi)Linux內(nèi)核包轉(zhuǎn)發(fā)功能，可使用以下命令來(lái)實(shí)現(xiàn) rootlocal # echo “1” /proc/sys/net/ipv4/ip_forward 上述命令只是一次性有效，為了讓主機(jī)每次開(kāi)機(jī)后都自動(dòng)激活I(lǐng)P數(shù)據(jù)包轉(zhuǎn)發(fā)功能，可以采用編輯配置文件/etc/sysctl.conf的方法，將其中的語(yǔ)句：net.ipv4.ip_forward=0 更改為net.ipv4.ip_forward=1執(zhí)行如下命令： rootlocal # sysctl -p即可讓系統(tǒng)啟動(dòng)后自動(dòng)打開(kāi)內(nèi)核的包轉(zhuǎn)發(fā)功能。上述操作也可以通過(guò)執(zhí)行下列命令來(lái)實(shí)現(xiàn)相應(yīng)功能：rootlocal # sysctl -w net.ipv4.ip_forward=”1”rootlocal # sysctl -p還可以/etc/sysconfig/network配置文件中，通過(guò)以下配置項(xiàng)來(lái)開(kāi)啟內(nèi)核的包轉(zhuǎn)發(fā)功能：FORWARD_IPV4true第三章 iptables的使用3.1 iptables的命令格式iptables用于創(chuàng)建、維護(hù)和檢查L(zhǎng)inux內(nèi)核的IP包過(guò)濾規(guī)則，利用該命令可創(chuàng)建、刪除或更名鏈，在鏈中創(chuàng)建或刪除規(guī)則，設(shè)置鏈的策略等，功能很強(qiáng)大，用法也比較多，其命令基本格式為：iptables -t 表名 命令選項(xiàng) 鏈 匹配選項(xiàng) 操作選項(xiàng)1. 表名選項(xiàng)“-t表名”用來(lái)選擇要操作的表，表名可以是 filter，nat，mangle三者之一，如該參數(shù)缺省則默認(rèn)為filter表。2. 命令選項(xiàng)命令選項(xiàng)用來(lái)指定對(duì)鏈或規(guī)則的操作，包括插入、刪除、添加規(guī)則等。 iptables的主要命令選項(xiàng)如表3-1所示。表3-1 iptables的主要命令選項(xiàng)3. 鏈名選項(xiàng)“鏈”指定要操作的鏈名，除使用系統(tǒng)定義的鏈名外，用戶也可自定義鏈名。4. 匹配選項(xiàng)匹配選項(xiàng)指定數(shù)據(jù)包與規(guī)則匹配所應(yīng)具有的特征，包括源地址、目的地址、傳輸協(xié)議和端口號(hào)等。主要的匹配選項(xiàng)如表3-2所示。表3-2 iptables的主要匹配選項(xiàng)5. 操作選項(xiàng)操作選項(xiàng)用于指定對(duì)匹配過(guò)濾規(guī)則的數(shù)據(jù)包所進(jìn)行的處理。其形式為“-j target/jump”，其中“target”是對(duì)包的處理動(dòng)作，“jump”代表一個(gè)用戶自定義的鏈名，用于跳轉(zhuǎn)到該鏈進(jìn)行規(guī)則檢查。對(duì)數(shù)據(jù)常用的處理動(dòng)作如表3-3所示。表3-3 iptables的主要目標(biāo)動(dòng)作選項(xiàng)3.2 iptables命令的使用1. 對(duì)鏈的操作（1）查看鏈命令用法：iptables -L 鏈命令功能：列出指定表的全部鏈及其規(guī)則例:列出filter表的全部規(guī)則鏈。rootlocal # iptables -L 若要列出nat表的全部規(guī)則鏈，則操作命令為：rootlocal # iptables -t nat -L（2）創(chuàng)建新鏈命令用法：iptables -N 鏈名命令功能：以指定的名稱(chēng)創(chuàng)建一個(gè)新鏈例:創(chuàng)建一個(gè)名為mychain的新鏈。rootlocal # iptables -Nmychain（3）刪除鏈命令用法：iptables -X 鏈名命令功能：刪除指定的用戶自定義鏈例:刪除新建的mychain鏈。rootlocal # iptables -Xmychain2. 對(duì)規(guī)則的操作（1）添加規(guī)則 命令用法：iptables-t 表名 -A 鏈名匹配選項(xiàng)-j動(dòng)作 命令功能：向指定鏈的添加一條規(guī)則，該規(guī)則將會(huì)增加到規(guī)則列表的最后一行。 例:向filter表的INPUT鏈添加一條規(guī)則，將來(lái)自IP地址為這臺(tái)主機(jī)的數(shù)據(jù)包都丟棄。 rootlocal # iptables -t filter -A INPUT -s -j DROProotlocal # iptables -t filter -L INPUT（2）插入規(guī)則命令用法：iptables-t 表名 -I 鏈名規(guī)則號(hào)匹配選項(xiàng)-j動(dòng)作 命令功能：在指定的規(guī)則號(hào)的前面插入一條規(guī)則，原規(guī)則將自動(dòng)后移。若未指定規(guī)則號(hào)，則默認(rèn)為1，即插入在所有規(guī)則的前面。 例:在第3條規(guī)則前插入一條規(guī)則，其內(nèi)容是禁止子網(wǎng)段的所有用戶訪問(wèn)本機(jī)TCP協(xié)議的80端口。rootlocal # iptables -I INPUT 3 -s /24 -p tcp -dport 80 j DROProotlocal # iptables -L INPUT例:在第4條規(guī)則前插入一條規(guī)則，拒絕所有主機(jī)PING本機(jī)。rootlocal # iptables I INPUT 4 s 0/0p icmp -icmp-type echo-request j DROProotlocal # iptables -L INPUTChain INPUT (policy ACCEPT)target prot opt source destinationRH-Firewall-1-INPUT all - anywhere anywhereDROP all - anywhereDROP tcp - /24 anywhere tcp dpt:httpDROP icmp - anywhere anywhere icmp echo-requestACCEPT all - anywhere 在該命令中，“-s 0/0”用于指定源地址為所有主機(jī)，“-icmp-type”用于指定icmp包的類(lèi)型，“echo-request”代表ping包。（3）替換規(guī)則 命令用法：iptables-t 表名 -R 鏈名規(guī)則號(hào)匹配選項(xiàng)-j動(dòng)作 命令功能：將指定編號(hào)的規(guī)則替換為新的規(guī)則。 例:將上例中的第3條規(guī)則替換為允許子網(wǎng)段的所有用戶訪問(wèn)本機(jī)TCP協(xié)議的80端口。rootlocal # iptables -I INPUT 3 -s /24 -p tcp -dport 80 j ACCEPTrootlocal # iptables -L INPUT（4）刪除規(guī)則 命令用法：iptables-t 表名 -D 鏈名匹配選項(xiàng)-j動(dòng)作 或：iptables-t 表名 -D 鏈名規(guī)則號(hào) 命令功能：刪除指定的規(guī)則或指定編號(hào)的規(guī)則 例：刪除上例中被替換的第3條規(guī)則。rootlocal # iptables -D INPUT -s /24 -p tcp -dport 80 -jACCEPT或：rootlocal # iptables -D INPUT 3（5）設(shè)置鏈的默認(rèn)策略 命令用法：iptables -t 表名 -P 鏈名 目標(biāo)動(dòng)作 命令功能：定義指定鏈的默認(rèn)策略，即設(shè)置所有過(guò)濾規(guī)則都不滿足的數(shù)據(jù)包的默認(rèn)處理方式。 例：將INPUT、FORWARD和OUTPUT鏈的默認(rèn)策略設(shè)置為ACCEPT。rootlocal # iptables -P INPUT ACCEPTrootlocal # iptables -P FORWARD ACCEPTrootlocal # iptables -P OUTPUT ACCEPT（6）清除規(guī)則鏈中的所有規(guī)則 在新建規(guī)則時(shí)往往需要清除原有的規(guī)則，以免它們影響新設(shè)定的規(guī)則。如果規(guī)則比較多，一條條刪除就會(huì)十分麻煩這時(shí)可以使用iptables提供的清除規(guī)則選項(xiàng)達(dá)到快速刪除所有規(guī)則的目的。 命令用法：iptables -t 表名 -F 鏈名 命令功能：刪除指定鏈中的全部規(guī)則，若未指定鏈，則刪除表中所有鏈中的規(guī)則。 例：清除filter表中INPUT鏈中的全部規(guī)則。rootlocal # iptables -F INPUT（7）歸零包計(jì)數(shù)器 命令用法：iptables -t 表名 -Z 命令功能：將指定表中的包計(jì)數(shù)器和流量計(jì)數(shù)器清零，如不指定表，則默認(rèn)為filter表。 例：將filter表中的所有包計(jì)數(shù)器清零。rootlocal # iptables -Z 若要將nat表中的所有包計(jì)數(shù)器清零，則實(shí)現(xiàn)命令為：rootlocal # iptables -t nat -Z3. 保存與恢復(fù)過(guò)濾規(guī)則用上述方法所建立的規(guī)則會(huì)被保存到內(nèi)核中，在重啟系統(tǒng)時(shí)，會(huì)丟失這些規(guī)則。所以如果用戶將沒(méi)有錯(cuò)誤且有效的規(guī)則集添加到數(shù)據(jù)包過(guò)濾表，則時(shí)希望在重啟系統(tǒng)之后再次使用這些規(guī)則，必須將該規(guī)則集保存在文件中。其命令為： rootlocal # iptables-save /etc/sysconfig/iptables將數(shù)據(jù)包過(guò)濾表中的所有規(guī)則保存到/etc/sysconfig/iptables腳本文件中以后，無(wú)論何時(shí)重啟系統(tǒng)，都可以使用iptables-restore命令將規(guī)則集從該腳本文件恢復(fù)到數(shù)據(jù)包過(guò)濾表。其命令為：rootlal # iptables-restore ;minimumHH:MM -timestopvalue -;maximumHH:MM -dayslistofdays -;alistofdaystoapply,from(casesensitive) Mon Tue Wed Thu Fri Sat Sun首先需要說(shuō)明的是，這里所需要的time參數(shù)，在發(fā)行版的iptables里是沒(méi)有的，只有在extensions里才有，而這些extensions由不同的開(kāi)發(fā)者提供，可以從網(wǎng)上下載安裝。5.7 利用iplimit參數(shù)設(shè)置最大連接數(shù) 1.下載并安裝最新的內(nèi)核源碼 kenrel-source-2.4.20-13.7-i386.rpm。 rpm-Uvhkenrel-source-2.4.20-13.7-i386.rpm 2.進(jìn)入/usr/include目錄，執(zhí)行以下操作： root# mvasmasm_old root# mvlinuxlinux_old root# mvscsiscsi_old root# ln-s/usr/src/linux-2.4/include/asm./asm root# ln-s/usr/src/linux-2.4/include/linux./linux root# ln-s/usr/src/linux-2.4/include/scsi./scsi 3.下載patch-o-matic-20030107.tar.tar并執(zhí)行以下操作： root#exportKERNEL_DIR=/usr/src/linux-2.4 root#./runmeextra 按提示只需要安裝自己想要的那些擴(kuò)展功能補(bǔ)丁，這里只選擇了iplimit。 4.執(zhí)行makemrproper用makemenuconfig設(shè)置內(nèi)核選項(xiàng)，依次進(jìn)入Networkingoptions-;IP:NetfilterConfiguration，選擇剛才加入的擴(kuò)展功能，在這里只要把iplimit選定成M模式就可以了。然后： root#makedep root#makebzImage root#makeinstall root#makemodules root#makemodules_install 安裝完成，iplimit就可以使用了，例：我們