假设您想在runlevels3、4、和5启动iptables,使用下列命令:
chkconfig - -levels 345 iptables on
您也能够自己启动iptables(从/etc/sysconfig/iptables档案载入规则,和/etc/init.d/iptables restore等效):
service iptables start
下列命令能够使其失效(清洗掉核心当时的规则):
service iptables stop
对于Red Hat Linux之外的其他系统,可使用iptables-save和iptables-restore达到储存、回复规则的效果。关于这两个工具程式,请参阅《辅助工具》。
其他相关組態檔
透过/proc档案系统下的虚拟档案,能够监测、控制核心的一般网络功能,连同iptables的行为。《表9》列出最常用的档案。
核心对于iptables的支援
iptables和Linux核心的版本息息相关。在Red Hat Linux系统上,使用uname -r 命令可查出当时核心的版本。您会见到类似以下面的讯息:
2.4.20-20.9
当初用来建构核心的组态档,其名称应该含有核心的版本和机器类型(可使用uname -a查出来),例如:
/usr/src/linux-2.4.20-2.9/configs/
kernel-2.4.20-i686.config
和iptables功能有关的组态项目,其名称多半是以CONFIG_IP_NF_为首。以下是至少必须具备的基本要项:
●CONFIG_PACKET(透过网络界面直接通讯)
●CONFIG_NETFILTER(提供iptables所需要的核心基础机制)
●CONFIG_IP_NF_CONNTRACK(支援NAT和伪装)
●CONFIG_IP_NF_FILTER(支援filter表格)
●CONFIG_IP_NF_IPTABLES(使userspace的iptables工具能够设定kernel-space里的Netfilter)
●CONFIG_IP_NF_MANGLE(支援mangle表格)
●CONFIG_IP_NF_NAT(支援nat表格)
********************************
警告:
您或许会很想要打开CONFG_NET_FASTROUTE,因为「fast routing」听起来是很适合用在防火墙的功能。别这么做!因为「fast routing」的原理其实是绕过Netfilter的各个拦截点。
********************************
假如需要能够和旧版防火墙技术(2.0时代的ipfwadmin,连同2.2时代的ipchains)相容,请加入下列两个选项:
●CONFIG_IP_NF_COMPATHAINS
●CONFIG_IP_NF_COMPAT_IPFWADM
______________________________
缺窍
有一组专为添增新功能到Netfiiter的核心修补程式,称为「patch-o-matic」在Netfilter主網站的《NetfilterExtensions HOWTO》(位於http: //www.netfilter.org/documenIation/HOWTO/netfilter.extensions.HOWTO.html) 能够找到关於这组修补程式的說明。Patch-o-matic本身並非隨附iptables一起發行.而必须另外从ftp: /ftp.netfiher.org/pub/patch-o-matic/下载。
______________________________
当您修补核心时,必须特別谨慎,尤其是对於实验性的Netfilter扩充模组。有些模组甚至不能同时编译,有些甚至即使可编译也不能夠执行。总之,对於新建好的核心,应该事先於无关紧要的环境下进行测试,而不要贸然安装在实际的防火墙上。
连線追蹤(Connection Tracking)
有能力找出不同封包之間的邏輯關連性,所属的逻辑连線;逻辑连線的概念甚至也适用於某的UDP封包(虽然UDP本身是一种沒有连線概念的协定)。为了做到这点,核心必须记錄连線的生命週期进度追蹤资讯提供给conntrack mateh extension(【注译:match extension是可讓iptables使用特别條件來过滤封包的扩充模组】)。
TCP实际的连線搭建程式和状态维护机制颇为复杂,所为此,線追蹤逻辑将连線的整个生命期简化为四个阶段(四种状态),对於个別TCP包,必定是属於道四种状态的连線之一。请参閱《表10》:
对于每一条连线(包括具体TCP连线,连同广义的UDP连线),连线線追蹤逻辑各维护三个位元的状态资讯。《表11》列出这些态代码的名称(可用於 - -ctstatus选项)。
iptables的連線追蹤邏輯,可容许外挂模组来辅助辨识新连线和旧有连线之间的关系。
当您的防火墙(或闸道器)需要转接多连线式的协定时间 、,您将需要使用相关追踪的主要连线形式。
在使用他们之前,必须先用modprobc将相关模组载入核心。请参閱《helper过滤条件》。
累计(Accounting)
对於每一条规则,核心各自配置两个专属的计数器,用于累计符合该条件的封包数,连同这些封包的总位元组数。这两项资讯可用於统计网路用量。
举例来說,假设有一台Internet闸道器路,eth0接内部网络,eth1接Internet;使用下列规则可使其核心自动累计内外网路所交換的封包数和资料量:
iptables -A FORWARD -i ethl
iptables -A FORWARD -o ethl
iptables -A INPUT -i ethl
iptables -A OUTPUT -o ethl
执行上述命令之后,使用iptable -L -v显示统计结果(注意INPUT和OUTPUT的计数结果 - 非零值表示已有些网络交通问题发生在我们显示计数结果之前):
Chain INPUT (policy ACCEPT 27 packets, 1728 bytes)
pkts bytes target prot opt in out source destination
3 192 all - - eth1 any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 all - - eth1 any anywhere anywhere
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
