科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何用奔腾机和Linux构建防火墙(5)

如何用奔腾机和Linux构建防火墙(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

老奔腾机完全可以胜任小型商业或家庭办公室的网络防火墙工作。ipchains 是 Linux 下的防火墙软件,其源码可以免费获得,并能够在老式奔腾机的 T-1 连网环境下工作。

作者:51CTO.COM 2007年11月12日

关键字: 防火墙 Linux ipchains 奔腾机

  • 评论
  • 分享微博
  • 分享邮件

  

  ipchains -X 删除已有链

  ipchains -L 列出链中的所有规则

  ipchains -F 删除链中的所有规则,但仍保留该链

  ipchains -Z 删除与链相关的统计数据

  ipchains -P 设置链的全部策略(接受 ACCEPT, 否决 DENY, 拒绝 REJECT, 屏蔽 MASQ, 改向 REDIRECT, 返回 RETURN 等)

  ipchains -M -L 列出所有使用屏蔽的链

  ipchains -M -S 对所有使用屏蔽的链,根据协议不同而分配若干超时限制

  表 3: 定义过滤规则的命令

  命令 陈述

  ipchains -A 将规则添加到链中

  ipchains -D 根据规则在链中的位置,删除该规则

  ipchains -R 根据规则在链中的位置,用新规则取代它

  ipchains -I 将新规则插入到链中的指定位置

  ipchains -C 使用链中的规则来过滤 protocol-info中的内容,从而测试该链

  表 3 中的过滤规则命令需要指定源和目的地址、协议类型和相关的端口号、其他IP协议的标志、以及所施行于它们的规则。这些规则条目可以逐一列出,以便或含糊或准确的描述被过滤掉的包的类型。

  源地址 (-s) 和目的地址 (-d) 具有相同的格式。您可以具体指定单个主机地址或某网络的一组主机地址。前一种情况,只需要插入主机地址;后一种情况则需要指定网络地址和网络地址掩码或比特掩码。比特掩码和网络掩码的作用是一样的,不同于网络掩码给定四组十进制数,它从网络掩码的左端开始计入比特数。例如,网络掩码 255.255.255.0 等效于比特掩码 24,255.255.224.0 等效于 19。不方便的是,您不能指定任意范围的网络地址,比如从 192.168.1.1 到 192.168.1.133 ―― 因为您无法用合适的网络掩码来表示它们。这个软件不得不这么工作,因为想要使它有效地过滤任意一段网络地址实在是太困难了。

  规则 陈述

  -d 192.168.1.24 -j ACCEPT 接受所有发送到 192.16.1.24 (Jane) 的包

  -d 192.168.0.0/255.255.224.0 -j DENY 拒绝所有试图到达 192.168.1.0 到 192.168.31.255 范围中某个地址的数据包,这就意味着 Bob, Fred 和 Jane 的主机都被保护起来,而 Olivia 则没有。

  -d 192.168.0.0/19 -j DENY 和上一命令相同,只是用比特掩码来表示范围的结束地址。

  上面的例子展示了目的地址的细节(用 -d ),但和源地址的用法是相同的(只是代之以 -s )。下一个策略组件是协议类型。ipchains 支持三种常用的传输协议类型:TCP、UDP 和 ICMP。其他协议仍处于试用阶段,这里略过不谈。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章