北京北大青鳥:Linux的iptables入門教程--設置靜態防火墻之一
北京北大青鳥通州校區學術部提供:
1����、iptables介紹
iptables是復雜的�����,它集成到linux內核中。用戶通過iptables�����,可以對進出你的計算機的數據包進行過濾�����。通過iptables命令設置你的規則,來把守你的計算機網絡──哪些數據允許通過�����,哪些不能通過����,哪些通過的數據進行記錄(log)。接下來��,(北京北大青鳥)老師將告訴你如何設置自己的規則���,從現在就開始吧����。(北京北大青鳥)
2、初始化工作
在shell提示符 # 下打入
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
以上每一個命令都有它確切的含義�。一般設置你的iptables之前�����,首先要清除所有以前設置的規則,我們就把它叫做初始化好了���。雖然很多情況下它什么也不做,但是保險起見�,不妨小心一點吧���! 如果你用的是redhat 或fedora���,那么你有更簡單的辦法 (北京北大青鳥)
service iptables stop
3、開始設置規則:
接下下開始設置你的規則了
iptables -P INPUT DROP
這一條命令將會為你構建一個非常“安全”的防火墻����,我很難想象有哪個hacker能攻破這樣的機器�����,因為它將所有從網絡進入你機器的數據丟棄(drop)了。這當然是安全過頭了,此時你的機器將相當于沒有網絡�。如果你ping localhost����,你就會發現屏幕一直停在那里����,因為ping收不到任何回應。(北京北大青鳥)
4 、添加規則
接著上文繼續輸入命令:
iptables -A INPUT -i ! ppp0 -j ACCEPT
這條規則的意思是:接受所有的,來源不是網絡接口ppp0的數據���。
我們假設你有兩個網絡接口,eth0連接局域網,loop是回環網(localhost)�����。ppp0是一般的adsl上網的internet網絡接口���,如果你不是這種上網方式����,那則有可能是eth1�。在此我假設你是adsl上網�,你的internet接口是ppp0。(北京北大青鳥)
此時你即允許了局域網的訪問,你也可以訪問localhost
此時再輸入命令 ping localhost,結果還會和剛才一樣嗎��?
到此我們還不能訪問www,也不能mail�����,接著看吧。(北京北大青鳥)
5、我想訪問www
iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT
允許來自網絡接口ppp0(internet接口)����,并且來源端口是80的數據進入你的計算機����。
80端口正是www服務所使用的端口�����。
好了����,現在可以看網頁了����。但是,你能看到嗎�����?
如果你在瀏覽器的地址中輸入
www.baidu.com
��,能看到網頁嗎����?
你得到的結果一定是:找不到主機
www.baidu.com
但是���,如果你再輸入220.181.27.5,你仍然能夠訪問baidu的網頁���。
為什么����?如果你了解dns的話就一定知道原因了�����。
因為如果你打入www.baidu.com,你的電腦無法取得www.baidu.com這個名稱所能應的ip地址220.181.27.5����。如果你確實記得這個ip����,那么你仍然能夠訪問www,你當然可以只用ip來訪問www,如果你想挑戰你的記憶的話^ _ ^�����,當然���,我們要打開DNS�����。(北京北大青鳥)(未完待續)
