iptables使用简介-01

 

章将探讨iptables防火墙的一些基本内容，即如何正确地安装、维护并与Linux系统上的iptables防火墙进行交互。同时，从内核和用户层的角度来讨论iptables的管理，并介绍如何建立和维护iptables防火墙策略。我们将构建一个默认的策略（本书后面数章都将参照该策略），还将提供实现该策略的脚本和供参考的网络图。本书中所列举的许多示例攻击都将从这个网络图中显示的主机上发出。最后，介绍如何测试这个默认的iptables策略，确保它按照设计的方式工作。

1.1　iptables

iptables防火墙由Netfilter项目开发（http://www.netfilter.org），自2001年1月Linux 2.4内核发布以来，它就成为Linux的一部分了。

多年来，iptables已发展成为一个功能强大的防火墙，它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。例如，iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制和一个功能强大的机制以指定过滤策略。所有主流的Linux发行版都包含了iptables，而且许多发行版在系统安装过程中就提示用户部署iptables策略。

Linux社区的一些人未弄清术语iptables和Netfilter之间的差别，从而产生某些混淆的概念。由Linux提供的所有包过滤和包修改设施的官方项目名为Netfilter，但这个术语同时也指Linux内核中的一个框架，它可以用于在不同阶段将函数挂接（hook）进网络栈。另一方面，iptables使用Netfilter框架旨在将对数据包执行操作（如过滤）的函数挂接进网络栈。你可以认为Netfilter提供了一个框架，iptables在它之上建立了防火墙功能。

术语iptables还指同名的用户层工具，它解析命令行并将防火墙策略传递给内核。术语如表（table）、链（chain）、匹配（match）和目标（target）（稍后会在本章中定义这些术语）只在iptables上下文中才有意义。

         Netfilter本身并不对数据包进行过滤——它只是允许可以过滤数据包的函数挂接到内核中适当的位置。（我不准备就这一点进行详细的介绍，因为本书中大部分材料都是围绕iptables以及它如何处理匹配某些条件的数据包。）Netfilter项目还在内核中提供了一些基础设施，如连接跟踪和日志记录，任何iptables策略都可以使用这些设施来执行特定的数据包处理。

说明     本书把由Netfilter日志记录子系统生成的日志信息称为iptables日志信息。毕竟，只有当数据包首先匹配一个由iptables构建的LOG规则时，该数据包的信息才会被记录。为了避免让读者感到困惑，除非必须使用术语Netfilter（比如在讨论内核编译选项或连接跟踪功能时），否则我将一直使用术语iptables。实际上，大多数用户都将Linux防火墙与iptables联系在一起。