一 本文目的

　　本文主要是探讨 Linux 2.4 内核中的iptables 的各种新增功能和使用方法，如何有效地使用这些新增的功能设置企业的防火墙规则，举例说明了新增功能在企业中的应用。

　　二 操作环境

　　Redhat Linux 7.1自带的模块化内核，专线连接互联网，两块网卡的防火墙，内部网段为10.0.0.0/255.255.255.0, 防火墙外部网卡接口地址为1.2.3.4。

　　三 iptables与ipchains的不同之处

　　1. 内置规则的重新定义，简单化规则管理Linux 内核中内置的INPUT,OUTPUT,FORWARD规则在新的iptables中，任何一个包仅仅只在这三个规则中的任何一个上应用，或者被INPUT规则击中，或者被FORWARD规则或者OUTPUT规则击中，不象在ipchains中任何一个包如果是穿过这台防火墙总要同时击中三个规则。

　　为了说明这种改变，请看下面的代码。

　　Incoming / Outgoing
　　-->[Routing ]--->|FORWARD|------->
　　[Decision] _____/ ^
　　| |
　　v ____
　　___ /
　　/ Linux防火墙 |OUTPUT|
　　|INPUT| ____/
　　___/ ^
　　| |
　　----> Local Process ----

　　a. 首先，当一个包进来的时候，也就是从以太网卡进入防火墙，内核首先根据路由表决定包的目标。
　　b. 如果目标主机就是本机，则如上图直接进入INPUT链，再由本地正在等待该包的进程接收，结束。
　　c. 否则，如果从以太网卡进来的包目标不是本机，再看是否内核允许转发包(可用echo 1> /proc/sys/net/ipv4/ip_forward 打开转发功能)如果不允许转发，则包被DROP掉，如果允许转发，则送出本机，结束。这当中决不经过INPUT或者OUTPUT链，因为路由后的目标不是本机，只被转发规则应用
　　d. 最后，该linux防火墙主机本身能够产生包，这种包只经过OUTPUT链出去。

　　注意： echo 1 > /proc/sys/net/ipv4/ip_forward 和 FORWARD 链的区别

　　前者的意思是是否打开内核的转发功能，后者是转发链规则只有内核打开转发功能，一个包才可能被送到转发链上去逐项检查规则。

　　如果一台防火墙没有打开前者的IP转发功能，则根防火墙相连的两边的网络是完全隔离的，如果是一端连到internet上，则只能通过代理防问internet,不可能通过IP伪装的方式防问。

　　这样，任何一个包只可能应用INPUT/OUTPUT/FORWARD中的一个规则，这种巨大的改进同时也简单化了防火墙规则管理。
　　2. iptables 是有状态的(stateful)。

　　有状态的意思是指如果一个包是对从防火墙原先发出去的包的回复，则自动不用检查任何规则就立即允许回复包进入并返回给请求者，这样我们不用设置许多规则定义就可实现应有的功能，在新的内核中使用这种有状态的能力是强烈地被推荐的，那么如何打开并使用这种功能呢？

　　我们假定某公司有如下图所示的典型的internet连接方案：

　　_______
　　10.0.0.2 | |
　　|PC | (10.0.0.1)eth1| |eth0(1.2.3.4)
　　B|___|_ ___________________|防火墙 |---------Internet
　　(LAN: 10.0.0.0/24) | A |
　　|_______|

　　可使用下面的规则集使用iptables的有状态的能力并打开IP伪装功能。

　　1 modprobe ip_tables
　　2 echo 1 > /proc/sys/net/ipv4/ip_forward
　　3 iptables -F INPUT
　　4 iptables -F FORWARD
　　5 iptables -F POSTROUTING -t nat
　　6 iptables -P FORWARD DROP
　　7 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
　　8 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j
　　ACCEPT
　　9 iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
　　10 iptables -A INPUT -p tcp -i eth0 --syn --dport 80 -j ACCEPT
　　11 iptables -A INPUT -p tcp -i eth0 --syn -j DROP

　　注：

　　1. 当使用redhat 的模块化内核时，装入ip_tables模块后，以后的命令将根据需要自行装入需要的模块。
　　另外注意，如果你装入了ipchains或者ipfwadm模块，则不能再装入iptables模块，可用rmmod命令移走它 们再装入iptables模块。在redhat下，可用ntsysv移走ipchains和iptables标记重启后运行上面的命令。
　　或者放入/etc/rc.d/rc.local中自动运行。
　　2. 第二行打开IP转发功能。
　　3. 第三四五行清除INPUT，FORWARD和POSTROUTING键规则
　　4. 第六行设置默认转发策略是DROP，当一个包被转发转则应用但不能应用到任何一条转发规则上则应用默认 规则。

[1] [2] 下一页