SUSE Linux Enterprise Server 10 安全:iptables 与网络地址转换详解
1. 熟悉基本 iptables 语法
有一个练习旨在让你熟悉 iptables 语法,并展示一些 iptables 规则的效果,你可以在练习册中找到这个练习。
2. 理解 iptables 高级特性
在定义简单的静态数据包过滤器时,之前提到的语法是足够的。不过,netfilter 框架还有更多特性和选项,主要包括匹配和目标以及用户自定义链。
2.1 匹配和目标
匹配和目标扩展了 iptables 的功能,主要涉及以下几种类型:
-状态匹配(State Match):能将 Linux 计算机转变为有状态的数据包过滤器,它理解以下参数:
-NEW:指尚未存在的连接的第一个数据包。在 TCP 中通常是带有 syn 标志的数据包,但并非绝对,它只是连接跟踪模块看到的第一个数据包。
-ESTABLISHED:表示连接的第二个及后续所有数据包。
-RELATED:涵盖与现有连接相关的连接,如 FTP 控制连接的数据连接或与现有连接相关的 ICMP 消息。
-INVALID:用于描述与已知连接无关的数据包。
这个模块不仅支持有状态过滤,还能简化设置规则的脚本。例如允许 eth0 上的 ssh 流量通过路由器并从 eth1 流出的规则如下:
<
