1、第10章 iptables防火墻與NAT服務(wù),本章導(dǎo)讀 防火墻的概述 iptables簡介 iptables基礎(chǔ) 關(guān)閉系統(tǒng)防火墻 NAT服務(wù) 使用iptables實現(xiàn)NAT服務(wù) iptables技巧實例,10.1防火墻的概述,防火墻的簡介 防火墻的分類 防火墻的工作原理,防火墻的簡介,防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部 件的組合，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。它通過訪問控 制機(jī)制，確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外 部請求可以訪問內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定 IP包是否可以傳進(jìn)或傳出內(nèi)部網(wǎng)。 防火墻通過審查經(jīng)過的每一個數(shù)據(jù)包，判斷它是否有相匹 配的過濾規(guī)則，

2、根據(jù)規(guī)則的先后順序進(jìn)行一一比較，直到滿 足其中的一條規(guī)則為止，然后依據(jù)控制機(jī)制做出相應(yīng)的動作。 如果都不滿足，則將數(shù)據(jù)包丟棄，從而保護(hù)網(wǎng)絡(luò)的安全。,防火墻的簡介,通過使用防火墻可以實現(xiàn)以 下功能： 可以保護(hù)易受攻擊的服務(wù)； 控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問； 集中管理內(nèi)網(wǎng)的安全性，降低管理成本； 提高網(wǎng)絡(luò)的保密性和私有性； 記錄網(wǎng)絡(luò)的使用狀態(tài)，為安全規(guī)劃和網(wǎng)絡(luò)維護(hù)提供依據(jù)。,防火墻的分類,防火墻技術(shù)根據(jù)防范的方式和側(cè)重點的不 同而分為很多種類型，但總體來講可分為包 過濾防火墻和代理服務(wù)器兩種類型。,防火墻的工作原理,1包過濾防火墻工作原理,防火墻的工作原理, 數(shù)據(jù)包從外網(wǎng)傳送到防火墻后，防火墻搶在

3、IP層向TCP層傳送前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。 首先與第一個過濾規(guī)則比較。 如果與第一個模塊相同，則對它進(jìn)行審核，判斷是否轉(zhuǎn)發(fā)該數(shù)據(jù)包，這時審核結(jié)果是轉(zhuǎn)發(fā)數(shù)據(jù)包，則將數(shù)據(jù)包發(fā)送到TCP層進(jìn)行處理，否則就將它丟棄。 如果與第一個過濾規(guī)則不同，則接著與第二個規(guī)則相比較，如果相同則對它進(jìn)行審核，過程與相同。 如果與第二個過濾規(guī)則不同，則繼續(xù)與下一個過濾規(guī)則比較，直到與所有過濾規(guī)則比較完成。要是所有過濾規(guī)則都不滿足，就將數(shù)據(jù)包丟棄。,防火墻的工作原理,2代理服務(wù)型防火墻工作原理 代理服務(wù)型防火墻是在應(yīng)用層上實現(xiàn)防火 墻功能的。它能提供部分與傳輸有關(guān)的狀 態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分

4、傳 輸?shù)男畔?，它還能處理和管理信息。 它的具體工作原理參見11.1.2節(jié)。,10.2 iptables簡介,netfilter/iptables（下文簡稱為iptables）組 成Linux平臺下的包過濾防火墻，與大多數(shù)的Linux 軟件一樣，這個包過濾防火墻是免費(fèi)的，它可以代 替昂貴的商業(yè)防火墻解決方案，完成封包過濾、封 包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 Iptables/netfilter包過濾防火墻其實是由兩個組件 構(gòu)成的，一個是netfilter，一個是iptables。 ,10.3 iptables基礎(chǔ),規(guī)則（rules） 鏈（chains） 表（tables

5、） iptables傳輸數(shù)據(jù)包的過程,規(guī)則（rules）,規(guī)則（rules）其實就是網(wǎng)絡(luò)管理員預(yù)定義的條件， 規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件，就這樣 處理這個數(shù)據(jù)包”。規(guī)則存儲在內(nèi)核空間的信息包過濾表 中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議（如 TCP、UDP、ICMP）和服務(wù)類型（如HTTP、FTP和SMTP） 等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時，iptables就根據(jù)規(guī)則所定義的 方法來處理這些數(shù)據(jù)包，如放行（accept）、拒絕（reject） 和丟棄（drop）等。配置防火墻的主要工作就是添加、修改 和刪除這些規(guī)則。,鏈（chains）,鏈（chains）是數(shù)據(jù)包傳播的路

6、徑，每一條鏈其實就是眾 多規(guī)則中的一個檢查清單，每一條鏈中可以有一條或數(shù)條規(guī) 則。當(dāng)一個數(shù)據(jù)包到達(dá)一個鏈時，iptables就會從鏈中第一 條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。 如果滿足，系統(tǒng)就會根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù) 包；否則iptables將繼續(xù)檢查下一條規(guī)則，如果該數(shù)據(jù)包不 符合鏈中任一條規(guī)則，iptables就會根據(jù)該鏈預(yù)先定義的默 認(rèn)策略來處理數(shù)據(jù)包。,表（tables）,表（tables）提供特定的功能，iptables內(nèi)置了3 個表，即filter表、nat表和mangle表，分別用于實 現(xiàn)包過濾，網(wǎng)絡(luò)地址轉(zhuǎn)換和包重構(gòu)的功能。 1filter表 (IN

7、PUT,FORWORD,OUTPUT) 2nat表(PREROUTING,OUTPUT,POSTROUTING) 3mangle表,iptables傳輸數(shù)據(jù)包的過程, 當(dāng)一個數(shù)據(jù)包進(jìn)入網(wǎng)卡時，它首先進(jìn)入PREROUTING鏈，內(nèi)核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉(zhuǎn)送出去。 如果數(shù)據(jù)包就是進(jìn)入本機(jī)的，它就會沿著圖向下移動，到達(dá)INPUT鏈。數(shù)據(jù)包到了INPUT鏈后，任何進(jìn)程都會收到它。本機(jī)上運(yùn)行的程序可以發(fā)送數(shù)據(jù)包，這些數(shù)據(jù)包會經(jīng)過OUTPUT鏈，然后到達(dá)POSTROUTING鏈輸出。 如果數(shù)據(jù)包是要轉(zhuǎn)發(fā)出去的，且內(nèi)核允許轉(zhuǎn)發(fā)，數(shù)據(jù)包就會如圖10-4所示向右移動，經(jīng)過FORWARD鏈，然后到達(dá)PO

8、STROUTING鏈輸出。,10.4關(guān)閉系統(tǒng)防火墻,iptables命令格式 iptables的使用,10.4關(guān)閉系統(tǒng)防火墻,執(zhí)行“setup”命令啟動 文字模式配置實用程 序，在“選擇一種工具”中 選擇“防火墻配置”，然后 選擇“運(yùn)行工具”按鈕 。出 現(xiàn)防火墻的配置界面， 將“安全級別”設(shè)為“禁 用”，然后選擇“確定”即 可。,iptables命令格式,iptables的命令格式較為復(fù)雜，一般的格式如下： iptables -t表 -命令 匹配 操作 1表選項 表選項用于指定命令應(yīng)用于哪個iptables內(nèi)置 表，iptables內(nèi)置包括filter表、nat表和mangle表。,iptab

9、les命令格式,2命令選項,iptables命令格式,3匹配選項,iptables命令格式,4動作選項,iptables的使用,1定義默認(rèn)策略 當(dāng)數(shù)據(jù)包不符合鏈中任一條規(guī)則時，iptables將根據(jù)該鏈預(yù)先定義的 默認(rèn)策略來處理數(shù)據(jù)包，默認(rèn)策略的定義格式如下。 iptables -t表名 參數(shù)說明如下。 -t表名：指默認(rèn)策略將應(yīng)用于哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認(rèn)使用filter表。 ：定義默認(rèn)策略。 ：指默認(rèn)策略將應(yīng)用于哪個鏈，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROU

10、TING。 ：處理數(shù)據(jù)包的動作，可以使用ACCEPT（接受數(shù)據(jù)包）和DROP（丟棄數(shù)據(jù)包）。,iptables的使用,2查看iptables規(guī)則 查看iptables規(guī)則的命令格式為： iptables -t表名 鏈名 參數(shù)說明如下。 -t表名：指查看哪個表的規(guī)則列表，表名用可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認(rèn)查看filter表的規(guī)則列表。 ：查看指定表和指定鏈的規(guī)則列表。 鏈名：指查看指定表中哪個鏈的規(guī)則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING，如果不指明哪個鏈，則

11、將查看某個表中所有鏈的規(guī)則列表。,iptables的使用,3增加、插入、刪除和替換規(guī)則 相關(guān)規(guī)則定義的格式為： iptables -t表名 鏈名 規(guī)則編號 -i | o 網(wǎng)卡名稱 -p 協(xié)議類型 -s 源IP地址 | 源子網(wǎng) -sport 源端口號 -d目標(biāo)IP地址 | 目標(biāo)子網(wǎng) -dport目標(biāo)端口號 參數(shù)說明如下。 -t表名：定義默認(rèn)策略將應(yīng)用于哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認(rèn)使用filter表。 -A：新增加一條規(guī)則，該規(guī)則將會增加到規(guī)則列表的最后一行，該參數(shù)不能使用規(guī)則編號。 -I：插入一條規(guī)則，原本該位置上的規(guī)則將會往

12、后順序移動，如果沒有指定規(guī)則編號，則在第一條規(guī)則前插入。 -D：從規(guī)則列表中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號加以刪除。,iptables的使用, -R：替換某條規(guī)則，規(guī)則被替換并不會改變順序，必須要指定替換的規(guī)則編號。 ：指定查看指定表中哪個鏈的規(guī)則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。 規(guī)則編號：規(guī)則編號用于插入、刪除和替換規(guī)則時用，編號是按照規(guī)則列表的順序排列，規(guī)則列表中第一條規(guī)則的編號為1。 -i | o 網(wǎng)卡名稱：i是指定數(shù)據(jù)包從哪塊網(wǎng)卡進(jìn)入，o是指定數(shù)據(jù)包從哪塊網(wǎng)卡輸出。網(wǎng)卡名稱可以使用p

13、pp0、eth0和eth1等。 -p 協(xié)議類型：可以指定規(guī)則應(yīng)用的協(xié)議，包含TCP、UDP和ICMP等。 -s 源IP地址 | 源子網(wǎng)：源主機(jī)的IP地址或子網(wǎng)地址。 -sport 源端口號：數(shù)據(jù)包的IP的源端口號。 -d目標(biāo)IP地址 | 目標(biāo)子網(wǎng)：目標(biāo)主機(jī)的IP地址或子網(wǎng)地址。 -dport目標(biāo)端口號：數(shù)據(jù)包的IP的目標(biāo)端口號。 ：處理數(shù)據(jù)包的動作，各個動作的詳細(xì)說明可以參考表10-3。,iptables的使用,4清除規(guī)則和計數(shù)器 在新建規(guī)則時，往往需要清除原有的、舊的規(guī)則，以免它們影 響新設(shè)定的規(guī)則。如果規(guī)則比較多，一條條刪除就會十分麻煩， 這時可以使用iptables提供的清除規(guī)則參數(shù)達(dá)到

14、快速刪除所有的規(guī) 則的目的。定義參數(shù)的格式為： iptables -t表名 參數(shù)說明如下。 -t表名：指定默認(rèn)策略將應(yīng)用于哪個表，可以使用filter、nat和mangle，如果沒有指定使用哪個表，iptables就默認(rèn)使用filter表。 -F：刪除指定表中所有規(guī)則。 -Z：將指定表中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零。,10.5 NAT服務(wù),什么是私有地址 什么是NAT NAT的工作原理,什么是私有地址,私有地址（Private address）屬于非注冊地址，是專門為組織 機(jī)構(gòu)內(nèi)部使用而劃定的。使用私有IP地址是無法直接連接到 Internet的，但是能夠用在公司內(nèi)部的Intranet的IP

15、地址上 。,什么是NAT,NAT是將一個地址域（如專用Intranet）映射到另 一個地址域（如Internet）的標(biāo)準(zhǔn)方法。它是一個 根據(jù)RFC 1631開發(fā)的IETF標(biāo)準(zhǔn)，允許一個IP地址 域以一個公有IP地址出現(xiàn)在Internet上。NAT可以將 內(nèi)部網(wǎng)絡(luò)中的所有節(jié)點的地址轉(zhuǎn)換成一個IP地址， 反之亦然。它也可以應(yīng)用到防火墻技術(shù)里，把個別 IP地址隱藏起來不被外部發(fā)現(xiàn)，使外部無法直接訪 問內(nèi)部網(wǎng)絡(luò)設(shè)備。,NAT的工作原理,1靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換,NAT的工作原理, 在NAT服務(wù)器上建立靜態(tài)NAT映射表。 當(dāng)內(nèi)部主機(jī)（IP地址為0）需要建立一條到Internet的會話連

16、接時，首先將請求發(fā)送到NAT服務(wù)器上。NAT服務(wù)器接收到請求后，會根據(jù)接收到的請求數(shù)據(jù)包檢查NAT映射表。 如果已為該地址配置了靜態(tài)地址轉(zhuǎn)換，NAT服務(wù)器就使用相對應(yīng)的內(nèi)部公有IP地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包，否則NAT服務(wù)器不對地址進(jìn)行轉(zhuǎn)換，直接將數(shù)據(jù)包丟棄。NAT服務(wù)器使用來替換內(nèi)部私有IP（0）的過程如圖10.13所示。 Internet上的主機(jī)接收到數(shù)據(jù)包后進(jìn)行應(yīng)答（這時主機(jī)接收到的請求）。 當(dāng)NAT服務(wù)器接收到來自Internet上的主機(jī)的數(shù)據(jù)包后，檢查NAT映射表。如果NAT映射表存在匹配的映射項，則使用內(nèi)部私有IP替換

17、數(shù)據(jù)包的目的IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部主機(jī)。如果不存在匹配映射項則將數(shù)據(jù)包丟棄。,NAT的工作原理,2動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換,NAT的工作原理, 當(dāng)內(nèi)部主機(jī)（IP地址為0）需要建立一條到Internet的會話連接時，首先將請求發(fā)送到NAT服務(wù)器上。NAT服務(wù)器接收到請求后，根據(jù)接收到的請求數(shù)據(jù)包檢查NAT映射表。 如果還沒有為該內(nèi)部主機(jī)建立地址轉(zhuǎn)換映射項，NAT服務(wù)器就會決定對該地址進(jìn)行轉(zhuǎn)換（建立0:2320:2320的映射項，并記錄會話狀態(tài)）。如果已經(jīng)存在該映射項，則NAT服務(wù)器使用該記錄進(jìn)行地址轉(zhuǎn)換，并記錄會話狀態(tài)。然后

18、NAT服務(wù)器利用轉(zhuǎn)換后的地址發(fā)送數(shù)據(jù)包到Internet主機(jī)上。 Internet主機(jī)接收到信息后，進(jìn)行應(yīng)答，并將應(yīng)答信息回傳給NAT服務(wù)器。 當(dāng)NAT服務(wù)器接收到應(yīng)答信息后，檢查NAT映射表。如果NAT映射表存在匹配的映射項，則使用內(nèi)部公有IP替換數(shù)據(jù)包的目的IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部主機(jī)。如果不存在匹配映射項則將數(shù)據(jù)包丟棄。,NAT的工作原理,3網(wǎng)絡(luò)地址端口轉(zhuǎn)換,NAT的工作原理, 當(dāng)內(nèi)部主機(jī)（IP地址為0，使用端口1235）需要與Internet上的某主機(jī)（IP地址為，端口為2350）建立連接時，首先將請求發(fā)送到NAPT服務(wù)器上。NAPT服

19、務(wù)器接收到請求后，會根據(jù)接收到的請求數(shù)據(jù)包檢查NAPT映射表。 如果還沒有為該內(nèi)部主機(jī)建立地址轉(zhuǎn)換映射項，NAPT服務(wù)器就會為這個傳輸創(chuàng)建一個Session，并且給這個Session分配一個端口3200，然后改變這個數(shù)據(jù)包的源端口為3200。所以原來的0:1235:2350數(shù)據(jù)包經(jīng)過轉(zhuǎn)換后變?yōu)榱?3200:2350。 Internet主機(jī)接收到信息后進(jìn)行應(yīng)答，并將應(yīng)答信息回傳給NAPT服務(wù)器。 當(dāng)NAPT服務(wù)器接收到應(yīng)答信息后，檢查NAPT映射表。如果NAPT映射表存在匹配的映射項，則使用內(nèi)部公有IP替換數(shù)

20、據(jù)包的目的IP地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部主機(jī)。如果不存在匹配映射項則將數(shù)據(jù)包丟棄。,10.6使用iptables實現(xiàn)NAT服務(wù),配置網(wǎng)絡(luò)環(huán)境 建立ADSL連接 rp-pppoe的控制腳本 使用iptables實現(xiàn)NAT NAT客戶端的配置 啟動時自動撥號和配置NAT服務(wù)器,10.6使用iptables實現(xiàn)NAT服務(wù),配置網(wǎng)絡(luò)環(huán)境,（1）配置網(wǎng)卡eth0 DEVICE=eth0#網(wǎng)卡的設(shè)備別名 BOOTPROTO=static#網(wǎng)卡的IP地址是靜態(tài)指定 BROADCAST=55#網(wǎng)卡的網(wǎng)絡(luò)地址 HWADDR=00:0C:29:FD:D3:29#網(wǎng)卡的MAC地址 IPADD

21、R=#網(wǎng)卡的IP地址 NETMASK=#網(wǎng)卡的子網(wǎng)掩碼 NETWORK=#網(wǎng)卡的網(wǎng)絡(luò)地址 ONBOOT=yes#系統(tǒng)啟動時激活該網(wǎng)卡 TYPE=Ethernet#網(wǎng)卡的類型是以太網(wǎng),配置網(wǎng)絡(luò)環(huán)境,（2）配置網(wǎng)卡eth1 DEVICE=eth1#網(wǎng)卡的設(shè)備別名 BOOTPROTO=static#網(wǎng)卡的IP地址是靜態(tài)指定 BROADCAST=55#網(wǎng)卡的網(wǎng)絡(luò)地址 HWADDR=00:0C:29:FD:D3:33#網(wǎng)卡的MAC地址 IPADDR=#網(wǎng)卡的IP地址 NETMASK=255.

22、255.255.0#網(wǎng)卡的子網(wǎng)掩碼 NETWORK=#網(wǎng)卡的網(wǎng)絡(luò)地址 ONBOOT=yes#系統(tǒng)啟動時激活該網(wǎng)卡 TYPE=Ethernet#網(wǎng)卡的類型是以太網(wǎng),配置網(wǎng)絡(luò)環(huán)境,（3）為系統(tǒng)指定DNS服務(wù)器 nameserver 01 nameserver 8 （4）使網(wǎng)絡(luò)配置生效 重啟Linux或運(yùn)行命令“/etc/init.d/network restart”使以上配置生效 。,建立ADSL連接,1rp-pppoe的安裝 默認(rèn)情況下Red Hat Enterprise Linux安裝程序會將rp-pppoe軟 件安裝在系統(tǒng)上，

23、可使用下面的命令檢查系統(tǒng)是否已經(jīng)安裝了rp- pppoe軟件或查看已經(jīng)安裝了何種版本。 rpm -q rp-pppoe 如果系統(tǒng)還未安裝rp-pppoe軟件，可將Red Hat Enterprise Linux 5第1張安裝盤放入光驅(qū)，加載光驅(qū)后在光盤的Server目錄 下找到rp-pppoe軟件的RPM安裝包文件rp-pppoe-3.5- 32.1.i386.rpm，使用下面的命令安裝rp-pppoe軟件。 rpm -ivh /mnt/Server/rp-pppoe-3.5-32.1.i386.rpm,建立ADSL連接,2設(shè)置ADSL連接參數(shù) adsl-setup,建立ADSL連接,建立AD

24、SL連接,建立ADSL連接,rp-pppoe的控制腳本,1ADSL撥號 adsl-start 2查看當(dāng)前連接的狀態(tài) 如果要查看當(dāng)前ADSL連接的狀態(tài)，執(zhí)行命令“adsl-status”即可。 3斷開連接 如果要斷開ADSL連接，執(zhí)行命令“adsl-stop”即可。,使用iptables實現(xiàn)NAT,使用iptables實現(xiàn)NAT的具體步驟如下。 打開內(nèi)核的路由功能。要實現(xiàn)NAT功能，首先要將文件/proc/sys/net/ipv4/ip_forward設(shè)置為1（默認(rèn)是0），才能打開內(nèi)核的路由功能。具體的命令如下。 echo 1/proc/sys/net/ipv4/ip_forward 實現(xiàn)IP偽

25、裝。在nat表中的POSTROUTING鏈加入一條規(guī)則，這條規(guī)則的內(nèi)容是所有由ppp0接口送出的包會被偽裝（MASQUERADE），這樣就能使用iptables實現(xiàn)NAT命令了。具體的命令如下。 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE,NAT客戶端的配置,1Linux中NAT客戶端的配置 （1）設(shè)置默認(rèn)網(wǎng)關(guān)的IP地址 編輯文件/etc/sysconfig/network，然后使用GATEWAY選項來指定默認(rèn)網(wǎng)關(guān)的IP地址。 設(shè)置DNS服務(wù)器的IP地址 在Linux中配置DNS客戶端的方法很簡單，可直 接編輯文件/etc/reso

26、lv.conf，然后使用nameserver 選項來指定DNS服務(wù)器的IP地址 。,NAT客戶端的配置,2Windows 2000XP2003中NAT客戶端的配置,啟動時自動撥號和配置NAT服務(wù)器,為了能讓Linux服務(wù)器在啟動后自動撥號和配置 NAT服務(wù)器，可添加以下命令到/etc/rc.d/rc.local文 件的末尾（后面介紹iptables的技巧實例，也可以 添加到這個文件中）。 /sbin/adsl-start echo 1/proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MAS

27、QUERADE,10.7iptables技巧實例,禁止客戶機(jī)訪問不健康網(wǎng)站 禁止某些客戶機(jī)上網(wǎng) 禁止客戶機(jī)訪問某些服務(wù) 強(qiáng)制訪問指定的站點 禁止客戶機(jī)使用QQ 禁止使用ICMP協(xié)議 發(fā)布內(nèi)部網(wǎng)絡(luò)服務(wù)器 智能DNS服務(wù),禁止客戶機(jī)訪問不健康網(wǎng)站,【例1】添加iptables規(guī)則禁止用戶訪問域名為的網(wǎng)站，然后查看filter表的FORWARD鏈規(guī)則列表。 iptables -I FORWARD -d -j DROP iptables -t filter -L FORWARD 【例2】添加iptables規(guī)則禁止用戶訪問IP地址為的網(wǎng)站，然后查看filter表的FORWARD鏈

28、規(guī)則列表。 iptables -I FORWARD -d -j DROP iptables -t filter -L FORWARD,禁止某些客戶機(jī)上網(wǎng),【例1】添加iptables規(guī)則禁止IP地址為00的客戶機(jī)上網(wǎng)，然后查看filter表的FORWARD鏈規(guī)則列表。 iptables -I FORWARD -s 00 -j DROP iptables -t filter -L FORWARD 【例2】添加iptables規(guī)則禁止子網(wǎng)里所有的客戶機(jī)上網(wǎng)，然后查看filter表的FORWARD鏈規(guī)則列表。

29、iptables -I FORWARD -s /24 -j DROP iptables -t filter -L FORWARD,禁止客戶機(jī)訪問某些服務(wù),【例1】禁止子網(wǎng)里所有的客戶機(jī)使用FTP協(xié)議下載（即封閉TCP協(xié)議的21端口），然后查看filter表的FORWARD鏈規(guī)則列表。 iptables -I FORWARD -s /24 -p tcp -dport 21 -j DROP iptables -t filter -L FORWARD 【例2】禁止子網(wǎng)里所有的客戶機(jī)使用Telnet協(xié)議連接遠(yuǎn)程計算

30、機(jī)（即封閉TCP協(xié)議的23端口），然后查看filter表的FORWARD鏈規(guī)則列表。 iptables -I FORWARD -s /24 -p tcp -dport 23 -j DROP iptables -t filter -L FORWARD,強(qiáng)制訪問指定的站點,【例】強(qiáng)制所有的客戶機(jī)訪問8這臺Web服務(wù)器，然后查看nat表的PREROUTING鏈規(guī)則列表。 iptables -t nat -I PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to 8:80 iptables

31、-t nat -L PREROUTING,禁止客戶機(jī)使用QQ,iptables -I FORWARD -p tcp -dport 8000 -j DROP iptables -I FORWARD -p udp -dport 8000 -j DROP iptables -I FORWARD -d -j DROP iptables -I FORWARD -d -j DROP iptables -I FORWARD -d -j DROP iptables -I FORWARD -d -j DROP iptables -I FORWARD -d -j DROP iptables -I FORWARD -d -j DROP,禁止使用ICMP協(xié)議,【例】禁止Internet上的計算機(jī)通過ICMP協(xié)議ping到NAT服務(wù)器的ppp0接口，但允許內(nèi)網(wǎng)的客戶機(jī)通過ICMP協(xié)議ping的計算機(jī)，然后查看filter表的INPUT鏈規(guī)則列表。 iptables -I INPUT -i ppp0 -p icmp -j DROP iptables -t filter -L INPUT,發(fā)布內(nèi)部網(wǎng)絡(luò)服務(wù)器,