NAT服務(wù)器與防火墻

NAT服務(wù)器與防火墻-NAT服務(wù)器與防火墻I淺談IP|NAT原理及主要功能INAT服務(wù)器的安裝與使用Iiptables在防火墻上的運(yùn)用I實例練習(xí)I防火墻的簡單設(shè)置|iptables設(shè)置文件參考范例Squid服務(wù)器有著快速讀取功能，減少了客戶端直接連接Internet的機(jī)會，不足，這在目前以IPv4為主流的網(wǎng)絡(luò)環(huán)境中，的確困擾著許多系統(tǒng)及網(wǎng)絡(luò)設(shè)計人員。因此本章將使用NAT的方式來提供這一問題的解決方案。除此之外，利用NAT概念的擴(kuò)展，我們也將介紹防火墻的基本概念以及它對企業(yè)網(wǎng)絡(luò)安全性的影響。?淺談IP因為NAT的使用主要是為了解決IP地址不足的問題，所以在學(xué)習(xí)NAT的內(nèi)容前，必須先對IP地址的意義及功能要有基本的了解。本節(jié)將就IP的基本特性逐一介紹以幫助讀者建立正確的概念。IP的定義IP是位于OSI網(wǎng)絡(luò)模型中的網(wǎng)絡(luò)層(NetworkLayer)能信協(xié)議，它也是TCP/IP通信協(xié)議，它也是TCP/IP通信協(xié)議組件中最重要的兩個通信協(xié)議之一，目前Internet中使用的版本是IPv4，有關(guān)它的標(biāo)準(zhǔn)都定義在RFC791中。IP主要定義3個基本概念：?在TCP/IP網(wǎng)絡(luò)中定義數(shù)據(jù)傳輸?shù)幕締挝?-數(shù)據(jù)報(Datagram)，所有數(shù)據(jù)在網(wǎng)絡(luò)上傳遞都有特定的格式。IP運(yùn)行路由(Routing)的功能，它會選擇一條最佳路徑供數(shù)據(jù)傳輸之用。?訂立數(shù)據(jù)報在不可靠(Unreliable)的網(wǎng)絡(luò)上傳遞時應(yīng)該遵循的原則。通常IP是利用以下的運(yùn)作模式將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)上的：源主機(jī)IP層之上的傳輸服務(wù)會選將數(shù)據(jù)以TCP或UDP的格式發(fā)送到IP層上。IP層再將來源及目地的地信息(用來在網(wǎng)絡(luò)上路由的數(shù)據(jù))與IP數(shù)據(jù)報組合。接下來IP層將數(shù)據(jù)報向下發(fā)送到網(wǎng)絡(luò)接口層，在這一層中，數(shù)據(jù)鏈路服務(wù)會將IP數(shù)據(jù)報轉(zhuǎn)換成框架，以便在物理網(wǎng)絡(luò)中的特定媒體上進(jìn)行傳遞。因為每個IP數(shù)據(jù)報都包含來源及目的的地址，然后將這個地址與區(qū)域維護(hù)的路由表相比較，再判定需進(jìn)一步采取的轉(zhuǎn)送動作，而在目的地主機(jī)上則要運(yùn)行反向處理。IP尋址除了路由之外，IP的另一項重要功能為尋址(Addressing)目前Internet上都使用這套標(biāo)準(zhǔn)來表示主機(jī)和網(wǎng)絡(luò)點的邏輯地址，而通過這個管理模式，可以確定每臺主機(jī)或網(wǎng)絡(luò)都擁有惟一的識別方法，這可避免地址重復(fù)問題的發(fā)生。有一點請大家注意的，每個網(wǎng)絡(luò)設(shè)備的物理地址(MAC)也具有惟一性，可以用來精確表示網(wǎng)絡(luò)上的主機(jī)位置，但因為無法利用其地址來建立一套管理方法，所以通常無法達(dá)到尋址的功能所以才設(shè)計出IP的尋址方法。在IPv4中，每臺主機(jī)所使用的IP地址都是以32個二進(jìn)制的數(shù)字來表示，如011110101011001010010110101101111,這種表示法可以確保Internet上的每臺主機(jī)都有惟一的地址，因為這些地址都需要經(jīng)過InterNIC的授權(quán)才可以使用。如果知道特定的IP地址，就可以利

用這個地址來連接到此主機(jī)。以上的例子中使用32個二進(jìn)制的數(shù)字來表示IP地址，當(dāng)然也可以使用十六進(jìn)制（75652D6F）或十進(jìn)制（196965039）來表示，但這些表示法都很難讓一般用戶記憶。所以IP地址通常使用DottedDecimalNotation（DDN）表示法，它是將32個二進(jìn)制的位分為4個字節(jié)（有時也稱為Octet），然后將每個字節(jié)以十進(jìn)制來表示，而每個字節(jié)之間以一具句點（.）來分隔。因此，上例中的IP地址DDE表示法為11，這個表示法并沒有什么特殊意義，只是利于識別的方便，如圖1-1所示。7S652D6F圖牝1不同的IP地址表示法510D1D10D101157S652D6F圖牝1不同的IP地址表示法510D1D10D10115Qll&lllj117.10145111DDN表示法二進(jìn)制林法十六進(jìn)制表示法根據(jù)IP的定義，每個IP地址都是由兩個部分所組成：網(wǎng)絡(luò)識別碼（NetworkID）及主機(jī)識別碼（HostID）。例如，網(wǎng)絡(luò)識別碼包含8位，則主機(jī)識別碼就有32-8=24個位。而用來判斷網(wǎng)絡(luò)識別碼的主機(jī)識別碼包含的位數(shù)，就必須使用子網(wǎng)掩碼（SubetMask）和IP地址來運(yùn)算，舉例來說，在一般情形下，IP地址為6的網(wǎng)絡(luò)識別碼是150.23，而主機(jī)識別碼為51.36，如圖1-2所示。IP地址圖1-2IP地址是由網(wǎng)絡(luò)識別碼及主機(jī)識別碼組成32位網(wǎng)絡(luò)標(biāo)識碼主機(jī)標(biāo)識碼網(wǎng)絡(luò)識別碼在網(wǎng)絡(luò)中是相當(dāng)重要的概念，因為它可用來識別TCP/IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)節(jié)點，而所有位于同一具網(wǎng)絡(luò)節(jié)點中的主機(jī)，都擁有相同的網(wǎng)絡(luò)識別碼。換句話說，如果兩臺主機(jī)的IP地址中包含相同的網(wǎng)絡(luò)識別碼，則它們可以互相傳遞信息，而無需通過路由器或網(wǎng)關(guān)轉(zhuǎn)送。反之，如果兩臺主機(jī)的IPIP地址圖1-2IP地址是由網(wǎng)絡(luò)識別碼及主機(jī)識別碼組成32位網(wǎng)絡(luò)標(biāo)識碼主機(jī)標(biāo)識碼而主機(jī)識別碼是用來識別TCP/IP網(wǎng)絡(luò)中的節(jié)點（可能是工作站、服務(wù)器、路由器或其他TCP/IP設(shè)備），每臺設(shè)備的主機(jī)識別碼在本地的網(wǎng)絡(luò)節(jié)點都必須惟一，如果同一個網(wǎng)絡(luò)節(jié)點中的兩臺主

機(jī)具有相同的主機(jī)識別碼，則它們會發(fā)生無法連接網(wǎng)絡(luò)的問題，但是在不同網(wǎng)絡(luò)節(jié)點中的兩臺主機(jī)可以使用相同的主機(jī)識別碼。例如，1和1不以同時存在網(wǎng)絡(luò)中，因為它們的網(wǎng)絡(luò)識別碼和主機(jī)識別碼都相同，但是1和1可以同時存在不同的網(wǎng)絡(luò)中，因為它們的主機(jī)識別碼雖然相同，但是網(wǎng)絡(luò)識別碼卻不同。?IP地址類別因為每個IP地址都是由32個二進(jìn)制的數(shù)字組成，所以理論上來說，應(yīng)該會存在2的32次方個合法IP地址(232=4294967296)，但是事實上并沒有如此多的IP地址。目前InterNIC利用控制IP地址中的第一個字節(jié)(前8個位)來區(qū)分為5個IP類別，我們稱它們?yōu)镃lassA、ClassB、ClassC、ClassD、和ClassE、如圖1-3所示。12345678C13ssD1110參點傳輸舊地址圖牝3IP地址類別?ClassA在ClassA的網(wǎng)絡(luò)中，每個網(wǎng)絡(luò)都是利用前8個位來定義，因此有時也稱為“/8網(wǎng)絡(luò)”。因為第一個位已被事先定義為二進(jìn)制的0，所以ClassA的第1個字節(jié)是由00000001-01111111，也就是十進(jìn)制的1?127，但因為127是個特殊的網(wǎng)絡(luò)識別碼(LookbackAddress)，所以目前Internet上具有126個ClassA網(wǎng)絡(luò)。12345678C13ssD1110參點傳輸舊地址ClassA使用最后3個字節(jié)(24個位)來表示主機(jī)識別碼，因此每個ClassA網(wǎng)絡(luò)可以包含的主機(jī)數(shù)目為224,也就是16777216臺主機(jī)。但是主機(jī)識別碼全為1和0表示廣播網(wǎng)絡(luò)地址，因此每個ClassA網(wǎng)絡(luò)實際的主機(jī)機(jī)數(shù)目為16777214，由此可知，所有VlassA的主機(jī)數(shù)目是126*16777214=2113928964。?ClassB在ClassB網(wǎng)絡(luò)中，每個網(wǎng)絡(luò)都是利用前16個位來定義，因此有時也稱為“/16網(wǎng)絡(luò)”。因為前2個位已被事先定義為二進(jìn)制的10，所以ClassB的第一個字節(jié)是由10000001?10111111也就是十進(jìn)制的128-191，而第二個字節(jié)也是網(wǎng)絡(luò)識別碼，所以Internet上具有64*28=16384個ClassB網(wǎng)絡(luò)。ClassB使用最后2個字節(jié)(16個位)來表示主機(jī)識別碼，因此每個ClassB網(wǎng)絡(luò)可以包含的主機(jī)數(shù)目為216，也就是65536臺主機(jī)。但是主機(jī)識別碼，因此每個ClassB網(wǎng)絡(luò)可以包含的主機(jī)數(shù)目為65534，由此可知，所有ClassB的主機(jī)數(shù)目是167384*65534=1073709056。ClassC在ClassC的網(wǎng)絡(luò)中，每個網(wǎng)絡(luò)都是利用前24個位來定義，因此有時也稱為—/24網(wǎng)絡(luò)”。因為前3個位已被事先定義為二進(jìn)制的110，所以ClassC的第一具個字節(jié)是由11000001-11011111，也就是十進(jìn)制的192-223，而第2和第3個字節(jié)也是網(wǎng)絡(luò)識別碼，所以目前Internet上具有32*216=2097152個ClassC網(wǎng)絡(luò)。ClassC使用最后1個字節(jié)(8個位)來表示主機(jī)識別碼，因此每個ClassC網(wǎng)絡(luò)可以包含的主機(jī)數(shù)目為28,也就是256臺主機(jī)。但是主機(jī)識別碼全為1和0表示廣播及網(wǎng)絡(luò)地址因此實際的主機(jī)數(shù)目為254，而所有ClassC的主機(jī)數(shù)目是254*2097152=532676608。ClassDClassD的IP地址只供多點發(fā)送(Multicast)的群組計算機(jī)使用，也就是說以這些地址發(fā)送的信息可以同時發(fā)送到多臺主機(jī)，這些地址是用在某些特殊的軟件組或服務(wù)。ClassD網(wǎng)絡(luò)的前4個位已被事先定義為二進(jìn)制的1110，所以ClassD的第一個字節(jié)是由11100001-1101111，也就是十進(jìn)制224-239，所以目前有16個ClassD網(wǎng)絡(luò)，但這些地址并不提供給一般的Internet主機(jī)使用，它可以不具有子網(wǎng)掩碼。ClassEClassE的IP地址是屬于實驗用的地址，這些地址并不提供給一般的Internet主機(jī)使用，它的前5個位已被子事先定義為二進(jìn)制的11110，所以ClassE的第一個字節(jié)是由11110001-11110111,也就是十進(jìn)制的240-254,所以目前有15個ClassE網(wǎng)絡(luò)。?私有IP地址(PrivateIPAddress)如果用戶的網(wǎng)絡(luò)不不連接Internet，那么無湎為了使用TCP/IP通信協(xié)議而向InterNIC或ISP取得已登錄的IP地址使用權(quán)，在此情形下，IANA(InternetAssignedNumbersAuthority)建議使用"私有IP地址”。這些地址都是由IANA所保留，主要是提供在TCP/IP網(wǎng)絡(luò)上的私人使用，Internet上的主機(jī)也不可使用這些地址，而這些私有IP地址正是NAT運(yùn)作上所使用的地址。這些私有IP地址的范圍如表1-2所示私人陶絡(luò)識別碼子幽掩碼IP地址泡圍-54-541P2.16S.0.0192.16S.0.1-192.16S.255.254注：有些人習(xí)慣將這些IANA保留IP地址稱為虛擬IP，而開放在Internet上的地址則稱為物理IP地址，但是作者認(rèn)為這些名稱并不合適。因為這些保留的IP地址也是由RFC正式定義的IP地址，何稱“虛擬”呢？所以我們將用“內(nèi)部IP”表示從IANA所保留的IP地址，而在Internet上使用的IP地址則是以“外部IP”來表示。?子網(wǎng)掩碼(SubnetMask)子掩碼和一般的IP地址相同，都是由32個二進(jìn)制的數(shù)字所組成，它的惟一功能就是辨別IP地址中網(wǎng)絡(luò)識別碼和主機(jī)識別碼部分為什么，這在網(wǎng)絡(luò)傳輸上相當(dāng)重要，因為具有相同網(wǎng)絡(luò)識別碼的主機(jī)要以直接地通信，而不同網(wǎng)絡(luò)識別碼的主機(jī)就需要通過網(wǎng)關(guān)來轉(zhuǎn)送信息。在利用子網(wǎng)掩碼判斷IP地址的網(wǎng)絡(luò)識別碼和主機(jī)識別碼的部分時，要按以下的步驟來運(yùn)算我們在此以一個ClassB的IP地址——5和ClalssB默認(rèn)的子網(wǎng)掩碼---為例。將IP地址轉(zhuǎn)換為二進(jìn)制表示法

在所有的子網(wǎng)掩碼運(yùn)算和子網(wǎng)分割運(yùn)算中，所有的IP地址及子網(wǎng)掩碼都必須先轉(zhuǎn)換為二進(jìn)制表示法。在本例中5的二進(jìn)制表示法為10010110000101110011100000011001注：在轉(zhuǎn)換為二進(jìn)制表示法時須注意一點，如果不足8位時須以0補(bǔ)足，例如56的二進(jìn)制表示法應(yīng)寫成00111000”，而不是111000”。將子網(wǎng)掩碼轉(zhuǎn)換為二進(jìn)制表示法在本例中子網(wǎng)掩碼的二進(jìn)制表示法為1111111111111110000000000000000而各種類型網(wǎng)絡(luò)默認(rèn)的子網(wǎng)掩碼如表1-3所示。地址類型子幽掩碼的位子幽掩碼ClalssA地址類型子幽掩碼的位子幽掩碼ClalssA11111111000000000000000000000000ClalssB11111111111111110000000000000000ClalssC11111111111111111111111100000000將以二進(jìn)制表示法的IP地址和子網(wǎng)掩碼利用AND”運(yùn)算所謂AND”運(yùn)算是指真值表中與”的運(yùn)算，只要二者其中有一個是0，則運(yùn)算后值就為0，只有在二者都為1的情形下才會為1。有關(guān)AND”運(yùn)算的結(jié)果如下所示：1AND1=11AND0=00AND1=00AND0=0在了解AND”運(yùn)算后，就可以將以二進(jìn)制表示法的IP地址和子網(wǎng)掩碼利用AND”來運(yùn)算，運(yùn)算的過程及結(jié)果如圖1-4所示。IP地址=子網(wǎng)捕碼=1001011000010111001110000001100111111111111111110000000000000000AND冒結(jié)臬10010110000101110000000000000000圖1-4IP地址和子網(wǎng)掩碼利用“AND”運(yùn)算過程及結(jié)果運(yùn)算結(jié)果中非0的部分為網(wǎng)絡(luò)識別碼在IP地址和子網(wǎng)掩碼利用AND”運(yùn)算后，它的結(jié)果中不是0的部分就是網(wǎng)絡(luò)識別碼，在本例中為150.23，但是通常習(xí)慣用0來將它寫成類似IP地址的形態(tài)，如。在發(fā)送信息前，IP即是以這種方法來判斷目的地的主機(jī)是否存在本地網(wǎng)絡(luò)，如果目的地主機(jī)位于遠(yuǎn)程網(wǎng)絡(luò)，IP就會將此信息發(fā)送到路由或默認(rèn)的網(wǎng)關(guān)，如圖1-5所示。IP地址=1000000100010111011000101111101011000100010110000000000101100001子網(wǎng)呻1111111111111111000000000000000011111111111111111111111100000000IAND果：1000000100010111000000000000000011000100010110000000000100000000尹19B.8B.1.0圖1-5判斷兩臺主機(jī)是否位于同一網(wǎng)絡(luò)節(jié)點由以上的結(jié)果可知，如果要避免尋址及路由問題，應(yīng)該確保在同一網(wǎng)絡(luò)區(qū)域上的所有TCP/IP主機(jī)都使用相同的子網(wǎng)掩碼。?NAT原理及主要功能前面內(nèi)容介紹了IP的基本概念，接下來將開始介紹有關(guān)NAT的內(nèi)容。所謂網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation,NAT),它是定義于RFC1631中的Internet標(biāo)準(zhǔn)，主要是用來簡化及保存IP地址，它可讓原本無法上網(wǎng)，但是可以使用內(nèi)部IP地址的主機(jī)可以成功地連接Interneto這可大大減少IP地址的需求，因為基本上整個內(nèi)部網(wǎng)絡(luò)都可憑借NAT上的一具外部IP來連接Internet，如圖1-6所示。

當(dāng)NAT作用于路由器時，通?？蛇B接兩組以上的網(wǎng)絡(luò)上在轉(zhuǎn)送數(shù)據(jù)包到其他網(wǎng)絡(luò)前，將內(nèi)部IP地址轉(zhuǎn)換為Internet上合法的外部IP地址。此外，NAT還可以對外只用一個地址代表整個網(wǎng)絡(luò)，這樣可以提供更高的安全性，將整個內(nèi)部網(wǎng)絡(luò)隱藏在該地址后，將這種安全性及地址保存的雙重功能的程序通常安裝在遠(yuǎn)程訪問的環(huán)境。目前許多的路由器支持NAT這項功能，其他如Linux中的IP偽裝(IPMasquerade)，F(xiàn)reeBSD中的NATD或Windows上的Sygate軟件都具有相同的功能。使用NAT的優(yōu)點如下：?減少IP地址使用量。在使用NAT以后，Internet上的主機(jī)會誤以為它正與NAT服務(wù)器進(jìn)行通信，因為它們并不知在NAT主機(jī)后包含一個局域網(wǎng)。于是，回傳的數(shù)據(jù)包會直接發(fā)送到NAT服務(wù)器，然后NAT服務(wù)器再將這個數(shù)據(jù)包頭文件目的地的IP地址更為局域網(wǎng)里真正發(fā)出信息的計算機(jī)。?可在NAT服務(wù)器上的外部IP上建立多個“IPAlias”，當(dāng)收到傳給那些IPAlias的請求時，NAT可以把這些請示求轉(zhuǎn)送給內(nèi)部網(wǎng)絡(luò)中提供服務(wù)的服務(wù)器。?負(fù)載平衡(LoadBalancing)，也就是說，將同一個IPAlias請求分別導(dǎo)向到其他運(yùn)行相同服務(wù)的服務(wù)器，可減少單一服務(wù)器的工作量。雖然使用NAT具有以上的優(yōu)點，但是在某些情況下，必須注意NAT潛藏的缺點，以下舉出幾個例子以供讀者參考：?理論上，NAT服務(wù)器只使用一個IP地址，就可涵蓋無數(shù)個內(nèi)部IP地址，但是許多網(wǎng)絡(luò)通信協(xié)議或應(yīng)用程序都需要真正點對點的連接。?有些數(shù)據(jù)包是從出發(fā)地到目的地過程中的過程中都不能修改，像IP安全體系結(jié)構(gòu)就不可以使用NAT進(jìn)行映射，因為數(shù)據(jù)包的頭文件中含有數(shù)字簽名，如果頭文件被更改（即使是任何一個字），這個數(shù)字簽名便從此失去效力。?雖然NAT對于無法取得足夠IP地址的企業(yè)組織來說，它是一個極佳的解決方案，但當(dāng)該組織必須合并多個局域網(wǎng)時，必須仔細(xì)重新規(guī)劃IP分配，否則很容易產(chǎn)生IP重復(fù)的情況（因為每個局域網(wǎng)都使用內(nèi)部IP地址）。NAT通常被人視為增加計算機(jī)安全性的保護(hù)措施，但是如果入侵者可以控制NAT服務(wù)器，那么整個局域網(wǎng)就會暴露在Internet當(dāng)中，因此NAT并不能拿來代替防火墻使用。NAT依其作用的方向性可區(qū)分兩種類型：SourceNAT（SNAT）:所謂的SourceNAT就是改變第一個數(shù)據(jù)包的來源地址，它永遠(yuǎn)會在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝就是一具SNAT的例子。DestinationNAT（DNAT）：DestinationNAT剛好與SNAT相反，它是改變第一個數(shù)據(jù)懈的目的地地址，如平衡負(fù)載就是屬于DNAT。圖不同愁的NATNAT服務(wù)器的安裝與使用經(jīng)過以上兩個小節(jié)的說明，想必各位讀者現(xiàn)在對于IP及NAT服務(wù)器的原理一定有所了解，接下來將實際進(jìn)行NAT服務(wù)器的安裝。本書中的環(huán)境假設(shè)NAT服務(wù)器目前只具備一張網(wǎng)卡（負(fù)責(zé)連接Internet），而且這張網(wǎng)卡使用以下的外部IP地址配置：?網(wǎng)卡名稱：eth0。IP地址：18。?子網(wǎng)掩碼：。而為了連接內(nèi)部網(wǎng)絡(luò)（本書假設(shè)為192.168.1.x）必須再新建一張網(wǎng)卡，它使用內(nèi)部IP地址配置:?網(wǎng)卡名稱：eth1。IP地址：.子網(wǎng)掩碼：。圖1-8所示是本書范例使用的網(wǎng)絡(luò)體系結(jié)構(gòu)。圖網(wǎng)絡(luò)體系結(jié)構(gòu)范例iptables安裝在安裝NAT服務(wù)器前，必須確定系統(tǒng)上已安裝iptables程序，如果不知是否已經(jīng)安裝iptables,可以使用以下的方法來判斷：[root@nslroot]#rpm-qaiptablesIptables-1.2.7a-2如果尚未安裝iptables，可以在第一張安裝光盤中的/RedHat/RPMS目錄下，找到名為iptables-1.2.7a-2.i386.rpm”的安裝程序，然后按照以下的方法進(jìn)行安裝：[root@nslroot]#rpm-ivhiptables-1.2.7a-2.i386.rpm為使開機(jī)時能自動運(yùn)行iptablas，可以在終端機(jī)窗口中輸入ntsysv”指令，然后在出現(xiàn)的畫面中，利用上下方向鍵將光標(biāo)移到菜單中的iptables”項目（同時確定ipchains選項沒有被選中），然后按空格鍵以選擇，最后利用Tab鍵將光標(biāo)移到確定”按鈕并按Enter鍵即完成設(shè)置，如圖1-9所示。網(wǎng)卡安裝在安裝iptables程序后，接下來我們將安裝第二張網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò)，以下是逐步的安裝說明。為了避免安裝時的失敗，建議先準(zhǔn)備一張Linux支持的網(wǎng)卡，如果不確定這張網(wǎng)卡是否可用，可到以下網(wǎng)址查閱（本書以RedHat為例）：/插入網(wǎng)卡并啟動電源后，Linux會自動檢測這張網(wǎng)卡，然后Linux會要求輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS服務(wù)器IP地址等配置信息。啟動第二張卡。[root@nslroot]#ifupethl使用IPForwarding功能在安裝第二張網(wǎng)卡后，接下來須使用IPForwarding的功能，代替內(nèi)部網(wǎng)絡(luò)的主機(jī)發(fā)送數(shù)據(jù)包，以下是使用的步驟及說明：修改/etc/sysctl.conf文件內(nèi)容，將net.ipv4.ip_forward="這行設(shè)置為T'。[root@nslroot]#vi/etc/sysctl.confNet.ipv4.ip_forward=1使用IPForwarding功能。在此介紹兩種使用IPForwarding功能方法，可以直接運(yùn)行以下的指令：[root@nslroot]#echo1>/proc/sys/net/ipv4/ip_forward或在/etc/sysconfig/network文件中，加入以下的記錄：[root@nslroot]#vi/etc/sysconfig/network最后重新加載/etc/rc.d/init.d/xinetd，以便設(shè)置生效：[root@nslroot]#/etc/rc.d/init.d/xinetdreload

重新加載配置設(shè)置：確定]④在此可以先忽略安全性的考慮，等安裝完成并測試成功后，再進(jìn)行安全管理。以下的指令表示允許所有內(nèi)部網(wǎng)絡(luò)的主機(jī)連接到Internet，這也是一般所稱的IP偽裝”(IPMasquerading)：[root@nslroot]#iptables-tnat-APOSTROUTING-s/24-jMASQUERADE但有時使用以上的指令后，F(xiàn)TP會無法正常運(yùn)作，此時可以嘗試以下的指令：[root@nslroot#modprobeip_conntrack_ftp[root@nslroot]#modprobeip_nat_ftp客戶端設(shè)置在NAT服務(wù)器設(shè)置后，最后的步驟就是客戶端的設(shè)置，本書在此以Windows2000客戶端為例。以下是設(shè)置的步驟與說明：選擇桌面上的網(wǎng)上鄰居”圖標(biāo)，然后右擊并選擇菜單中的屬性”選項，系統(tǒng)即會出現(xiàn)網(wǎng)絡(luò)和撥號連接”窗口，如圖1-10所示。圖1-11“網(wǎng)絡(luò)和撥號連接”窗口文件史)編常也杏肴GO，飆總王臭/高級圖1-11“網(wǎng)絡(luò)和撥號連接”窗口文件史)編常也杏肴GO，飆總王臭/高級?料劇(W國色建一i?并痂推壬同艷''與曾宣“由”防火也泰臣此棋建役毛%fcvimisW重此名龍注接心蘭看r彪接的忒六也史汶定報機(jī)遷S3"-T1壬1.-lrIF地連1111太己胡丈]0m麟勺同上拆0我的苴璀4碰攻■1394連丟3湖翻:在出現(xiàn)的網(wǎng)絡(luò)和撥號連接”窗口中選擇本地連接”圖標(biāo)，然后右擊并選擇要菜單中的屬性選項，系統(tǒng)會隨即出現(xiàn)本地連接屬性”窗口，如圖9-11所示。連蒯便用■EtWLinkXL1D/IQC1KI:配置敏），，此浮撞使用下掘目如：5crwdft網(wǎng)站客戶端回恒附e『om性網(wǎng)路敝件和打E|W1共享向哲=GMm砒協(xié)議(TCF/IP)建?一..屬性?說明TCP/IF是默認(rèn)的廣域硼成。它提供跨藤多種互聯(lián)礁的通訊.匚連接后在通知區(qū)域顯示困袱(!)舊此煌接裝限制或題接時通旬我四圖1?11“本地連接屬性?窗口在出現(xiàn)的本地連接屬性窗口中，選擇Internet協(xié)議(TCP/IP)選項，并單擊右下角的屬性按鈕，系統(tǒng)會隨即出現(xiàn)Internet協(xié)議(TCP/IP)屬性窗口，如圖1-12所示。

在出現(xiàn)Internet協(xié)議（TCP/IP）屬性”窗口中，首先選擇使用下面的IP地址”選項，然后輸入以下的信息：IP地址”字段：輸入192.168.1.X，本書在此以為例。?子網(wǎng)掩碼”字段：輸入，必須與NAT服務(wù)器內(nèi)部IP使用的子網(wǎng)掩碼相同。?默認(rèn)網(wǎng)關(guān)”字段：這是最重要的設(shè)置，必須輸入NAT服務(wù)器的內(nèi)部IP（此處是），千萬不可填入NAT服務(wù)器的外部IP，否則數(shù)據(jù)包永遠(yuǎn)也無法傳到NAT服務(wù)器（因為網(wǎng)絡(luò)ID”不同即無法通信）。?首選DNS服務(wù)器”字段：如果網(wǎng)絡(luò)中有DNS服務(wù)器，就可以在此輸入DNS服務(wù)器的IP地址。完成客戶端的設(shè)置。iptables在防火墻上的運(yùn)用介紹安裝NAT服務(wù)器時簡要地說明了iptables程序，其實它還有許多功能尚未說明，因此本節(jié)將再進(jìn)一步說明iptables程序在防火墻上的運(yùn)用。iptables體系結(jié)構(gòu)與處理流程iptables”程序的功能都是屬于數(shù)據(jù)包（Packet）層的工作，而這些工作都是利用不同的規(guī)則表”（RuleTable）來定義的。在iptables中包含3個默認(rèn)的RuleTable：FilterTable、NATTable與MangleTable，而每一個RuleTable又是由數(shù)個鏈”（Chain）所組成。舉例來說，在FilterTable中除了定制的鏈之外，還包含3個內(nèi)置的鏈:INPUTChain、OUTPUTChain和FORWARDChain,如圖1-13所法。

iptables圖1』3默認(rèn)的RuleTable和ChainFilterTable是iptables中的默認(rèn)RuleTable,也就是說，在運(yùn)行時如果沒有指定其他參數(shù)，則iptables會套用FilterTable中的規(guī)則，令外兩種RuleTable都需要配合指令參數(shù)使用。而在防火墻的運(yùn)用上，iptables主要是使用默認(rèn)的FilterTable功能，所以有人就稱為包過濾器（PacketFilter）。FilterTable可以先檢索到數(shù)據(jù)包，然后通過預(yù)選取一義的規(guī)則（Rule）來判斷是否發(fā)送此數(shù)據(jù)包。由于它運(yùn)行于網(wǎng)絡(luò)層，所以不論是否發(fā)送數(shù)據(jù)包，都不會影響到數(shù)據(jù)包中的數(shù)據(jù)內(nèi)容。iptables注：所謂包過濾是指利用一具軟件查看經(jīng)過數(shù)據(jù)包的表頭（Header），而由此決定整個數(shù)據(jù)包的處理，可能的處理方式有：丟棄這個數(shù)據(jù)包（DROP）、接受這個數(shù)據(jù)包（ACCEPT），或其他更復(fù)雜的動作。數(shù)據(jù)包過濾原理圖1-14是在FilterTable中內(nèi)置的3個鏈與防火墻發(fā)送數(shù)據(jù)包之間的流程圖。丟棄丟棄圖1-14防火墻發(fā)送數(shù)據(jù)包的流程圖圖1-14表示，當(dāng)一個數(shù)據(jù)包抵達(dá)圖9-13中的任何一個鏈，則這個鏈就會開始檢查這個數(shù)據(jù)包，以決定后續(xù)的處理，如丟棄或接受。其實每個鏈都是一個檢查列表，它會利用預(yù)先設(shè)置的規(guī)則來對數(shù)據(jù)包進(jìn)行判斷，如果判斷的結(jié)果不符合（Mach），就會交給鏈中的下一個規(guī)則繼續(xù)處理。如果到最后已沒有任何規(guī)則可供判斷，那內(nèi)核就會利用鏈的規(guī)則（Policy）來作出決定，但是為了安全起見，規(guī)則通常會要求內(nèi)核丟棄此數(shù)據(jù)包。以下就是防火墻發(fā)送數(shù)據(jù)包的流程說明：當(dāng)防火墻攔截到數(shù)據(jù)包后，內(nèi)核首先會檢查此數(shù)據(jù)包的目的地（Destination），而這個檢查的過程便稱為路由（Routing）。如果目的地址為本機(jī)，則此數(shù)據(jù)包就會流向INPUT鏈，而由本機(jī)程序來負(fù)責(zé)接管。然后由OUTPUT鏈處理，如果此數(shù)據(jù)包可被此處的規(guī)則接受，則這個數(shù)據(jù)包可送到它所指向的接口。此時如果內(nèi)核沒有啟動轉(zhuǎn)送功能（Forwarding），或不知道如何轉(zhuǎn)送此數(shù)據(jù)包，則這個數(shù)據(jù)包就會被丟棄。如果轉(zhuǎn)送功能已啟動，那么此數(shù)據(jù)包就會被指向另一個網(wǎng)絡(luò)接口，而流向FORWARD鏈，如果此數(shù)據(jù)包可被此處的規(guī)則接受，這個數(shù)據(jù)包就可送到它所指向的接口。iptables程序使用在了解iptables程序的基本原理后，接下來的內(nèi)容將介紹iptables程序的使用方法以及各個選項與參數(shù)。Iptable的語法結(jié)構(gòu)如表1-4所示。表1頊iptabl￡的語法結(jié)構(gòu)Iptabl?語法ipcabl-tTable類型指令鏈名稱參數(shù)選項Table類型Table類型"是指目前內(nèi)核的RuleTable類型，而在指定Table類型時必須配合--table"或-丁參數(shù)的使用，表1-5列出了可供設(shè)置的Table類型及說明。表1-5可供設(shè)宣的Table建及說明Table類型說明—table刖改或-tfilter表示使用默認(rèn)的FikerTable,如果未指定此項，系統(tǒng)也會以FilterTabl?來處理，它|內(nèi)置的鏈包括：EvPUTCham?、OUTPUTChain和FORWARDChain等—tablenat或-tnat表示命名用NATTable7它內(nèi)置的疑包括：PREROUnXGCham和OUTPUTChain等指令（Command）指令”表示要求iptables程序運(yùn)行的工作，而在每一個iptables指令中，只允許使用一個指令。除了help"指令之外，所有的指令都必須用大寫（Upper-Case）字母來表示，表1-6列出了可供使用的指令名稱及說明。

表1-6可供使用的指令名稱及說明命令蹣—append或紂將一個或一多個ipLables規(guī)則附加到鏈中，如果來源或目的地包含多個地址，則此規(guī)則會新建到每個可能的地址組合--delete或~D由選擇的他中，刪除一個或多個iptabl?s規(guī)則，可利用數(shù)字或指定規(guī)則全名方式來進(jìn)行刪除--rename-chain或-E修改由用戶定義的薄名稱，這并不會影響Table的結(jié)構(gòu)--insert或-I由選擇的建中插入一個或多具iptables規(guī)則，其插入需指定規(guī)則中的數(shù)字，如果數(shù)字為1表示為第一個（默認(rèn)值）--help或-h列出描述命令語法的說明--flu業(yè)或-F將■某個iptables規(guī)則清除，如InpukOutput或Forward,這相當(dāng)于去除規(guī)則的功能--1心|：或』列出所選擇設(shè)置的iptables規(guī)則，如果沒有指定規(guī)則，則會列出所有的規(guī)則--neur-chain或-X新建用戶定義（Usay-Defmed）規(guī)則-■policy或-F設(shè)置目標(biāo)的規(guī)則，但只限于InputsFoiuraid和Output規(guī)則可以設(shè)置--replaceSt-R取代所選擇的規(guī)則，需指定規(guī)則中的數(shù)字--delete-chain或-X刪除用戶定義的規(guī)則，但不包括內(nèi)置的規(guī)則--zero或捋所有規(guī)則中的數(shù)據(jù)包和字節(jié)計數(shù)器歸零，它也可以配合-L或-listS項的便用，列出之前的數(shù)據(jù)，再列出歸零的數(shù)據(jù)參數(shù)在指定iptables參數(shù)選項時，如果在選項前加入驚嘆號！則表示否定的意思，例如-s!localhost是表示除了localhost的來源地址都可以?？梢悦萌绫?-7所示的參數(shù)。表］-，參數(shù)表參數(shù)說明-<?t-munt&rs或-重新設(shè)置規(guī)則的計數(shù)器，這個參數(shù)可接受“PKT等和"BYTES-選項，以指定要重新設(shè)置規(guī)則的計數(shù)器-destination-d指字套用規(guī)則的目的地主機(jī)名稱、IP地址或幽絡(luò)地址。如果指定的是幽絡(luò)地址時，必須同時設(shè)置子幽插碼的值-in-inCerface或-指定數(shù)據(jù)包進(jìn)出的屈絡(luò)接口君稱，如職號也。和咂1等，如果沒指定則表示命君用所有的適配器Tump或-j指定規(guī)則的目標(biāo)，如果沒有指定則表示此規(guī)則沒有任何效果--protocol指定規(guī)則中檢查的通信協(xié)議，可在此設(shè)為icmp、Bp.udp或疝，如果沒有指定就表不此規(guī)則適用于所有的通信協(xié)議--wourcs或與指定套用規(guī)則的源主機(jī)名稱、IP地址或幽絡(luò)地址。如果指定的是屈絡(luò)地址時，必、須同時設(shè)置子網(wǎng)掩碼的值注：在來源（-s）和目的地（-d）的表示法有以下3種：使用完整的主機(jī)名稱，如或localhosto使用IP地址，如26o使用網(wǎng)絡(luò)地址，如/24或/，兩者都是包含-55的IP地址。斜線后的數(shù)字表示子網(wǎng)掩碼的位數(shù)，例如/8表示。選項在iptables指令最后一部分為選項，但這部分的可設(shè)置項目會隨著前面的參數(shù)而變，因此本書在此分別介紹不同情形下的選項說明：

通信協(xié)議選項在參數(shù)部分如果使用--protocol或-p,可以指定使用的通信協(xié)議種類，其中包括TCP、UDP、ICMP或全部（all）。此處的寫法沒有區(qū)分大小寫，而且能以數(shù)學(xué)代替，如果要知道每種通信協(xié)議代表的數(shù)字，可以查閱/etc/protocols文件中的內(nèi)容，例如tcp為6、udp為17而icmp為1。表1-8列出了在選擇不同通信協(xié)議時可用的選項名稱及說明。表H不同誦信協(xié)議時可用的蛔名稼及說明參數(shù):TCP通信協(xié)議選項說明--souice-pori:或一sport指定來源的連接端口，此處允許輸入服務(wù)名稱或連接端口號碼。也可以在此定制一個連接端曰池例，例如如果允訐來源數(shù)據(jù)包由連接端口xx芯到y(tǒng)yy進(jìn)入,那么可以設(shè)為"w:yyy七如果xxx的部分不寫，那么表不甬注接端口編號。開始，而如窠vw的部分不寫，就表不結(jié)束的連接端口端號為E5535--destination-pore?；一dporc指定發(fā)送數(shù)據(jù)包的目的地連接端口，此處允訐輸入服務(wù)名稱、連接端口號碼或某一范圍的連接端口~syn表芯此規(guī)則只適用于已設(shè)置村g位的TCP數(shù)據(jù)包，此類的數(shù)據(jù)包是在請求TCF連接的初始階段--cep-option這個選項后需接一個數(shù)字，用來匹配TCF選項等于該數(shù)字的數(shù)據(jù)包。如果需要撿查TCP?項，那么TCP表頭不完整的數(shù)據(jù)就會被自動刪除--cep-flags此選項后需接：個參數(shù)，以對TCP標(biāo)志進(jìn)行席選。第一個參數(shù)表示屏蔽（Mamk）,它可用來指定數(shù)據(jù)包中需要檢查的TCF標(biāo)志，而第—個參數(shù)表示需要設(shè)置的標(biāo)準(zhǔn)，可用的標(biāo)志包括：SYN.ACK、FIX、RST、URG、PSH、ALL和NQXE等，如果指定多個標(biāo)志，則每個標(biāo)志間需以逗號（J分隔口以下范例表示所有標(biāo)志都要檢查，但只有SXY和ACK被設(shè)胃Iptables-AKPUT—protocoltcp—tcp-fla^sALLSYX.ACK-iDEXY參數(shù)：UDP能信協(xié)議（-pudp）選項說明--source-port或一sport指定來源的連接端口，此處允許輸入服務(wù)名稱或連接端口號碼。也可以在此定制一個連接端曰泡例，例如，如果允訐來源數(shù)據(jù)包由連接端口必;到竺7進(jìn)入,那么可以設(shè)為“如果xx\的部分不寫,就表不由連繇端口編號。開始：如果竺y菌馥分不與'，就表正結(jié)束的連接端口編號為155535--deBtination-porc^c--dpoit指定發(fā)送數(shù)據(jù)包的目的地連接端口，此處允許輸入服務(wù)名稱、號碼或某一范圍的連接端口參數(shù)：ICMP通信協(xié)議（-picmp）選項說明-■icmp-type這個選項后需接一下ICMP名稱類型（如host-unr?achable）、、數(shù)字類型（如3）,或一對用￥分隔的數(shù)字類型和端碼（如*3）。以下指令可荻得ICMP類型名稱列表：Iptables-picmp-h?目標(biāo)選項在參數(shù)部分如果使用-j或--jump，就可設(shè)置此規(guī)則的目標(biāo)（Target），這可說是最重要的設(shè)置項目，如果少了這個選項，此規(guī)則就形同虛設(shè)。在此選項后必須使用大寫來指定規(guī)則的目標(biāo)，其中可用的目標(biāo)選項及說明如表1-9所示。

表1-P可用的目^目標(biāo)選項(標(biāo)準(zhǔn))說明用戶定義蒲名稱將數(shù)據(jù)包轉(zhuǎn)遇到用戶自定義的鏈中檢驗，該斑事先必須用-N選項建立。如果在定制中找不到符合的規(guī)則，則會自動返回原來鏈的下一行規(guī)則，繼續(xù)檢驗ACCEPT允訐這個數(shù)據(jù)包通過DROP丟棄這個數(shù)據(jù)包RETUKX直接跳離目前的鏈。如果是用戶自定義的鏈，就會返回房鏈的下—個規(guī)則繼續(xù)檢驗，如果是內(nèi)宣的薄，那會參考規(guī)則來處理數(shù)據(jù)包QUEUE將數(shù)據(jù)包重導(dǎo)入本機(jī)的隊列中目標(biāo)選項(擴(kuò)展)說明LOG啟動內(nèi)核記錄功能并且記錄此數(shù)據(jù)包的鏈接內(nèi)容為數(shù)據(jù)進(jìn)行標(biāo)記，供其他規(guī)則或數(shù)據(jù)包處理程序便用，此選項只在使用Mangl?Table時才有效REJECT刪除通過的數(shù)據(jù)包，但會產(chǎn)生ICMP響應(yīng)以告之源主機(jī)，此數(shù)據(jù)包無法到達(dá)的端口(DestinationPortUnreac±iabl?)TOS這是用來設(shè)置IP表頭中&位長度的TOE(T?peofServer)字段，但是此選項只在使用MangleTable時有敷?保存iptables設(shè)置因為使用iptables程序所建立的規(guī)則只會保存在內(nèi)存中，因此如果要重新啟動計算機(jī)，那么這些設(shè)置都將消失。如果希望某些規(guī)則可以在每次開機(jī)后都生效，則必須將此規(guī)則保存在/etc/sysconfig/iptables文件中。要將規(guī)則保存在/etc/sysconfig/iptables文件中并不需要手動輸入，可利用以下的指令進(jìn)行：[root@nslroot]#/etc/rc.d/init.d/iptablessave保存目前的設(shè)置到/etc/sysconfig/iptables:確定]或[root@nslroot]#/sbin/serviceiptablessave保存目前的設(shè)置到/etc/sysconfig/iptables：確定]在運(yùn)行以上的指令后，iptables初始指令文件會運(yùn)行/sbin/iptables-save程序，并且將結(jié)果寫入/etc/sysconfig/iptables文件中。以下是/etc/sysconfig/iptables文件的范例內(nèi)容：'root@ns1root]-xi-etc-sysctptables-Generatedbyiptables-s3X7ev1.2.5onWedApr91324392003*natTREKOUTINGACCEFT[2446:190334]:POSTROUTINGAACCEPT[97:7160]OUTPUTACCEPT[卯:了ISO][1599:84845]-APOSTROUTENG-s--255.255755.0-jMASQUERADECOMMIT-CompletedonW&dApr813:24:392003T^Generatedbyiptables-savev1.2.5onW&dApr81.324392003^filter:INPUTACCEPT[16975575149]FORWARDACCEP1{39848933018&269]OUTPUTACCEPT[W37:6565811]COMMIT-CompletedonW&dApr813:24:392003因為/etc/sysconfig/iptables文件只允許管理員讀取，所以不必?fù)?dān)心有關(guān)數(shù)據(jù)包篩選規(guī)則的內(nèi)容會泄露到其他用戶。[root@nslroot]#ls-l/etc/sysconfig/iptables-rwlrootroot4904月913:24/etc/sysconfig/iptables在將iptables規(guī)則存入/etc/sysconfig/iptables文件后，下次主機(jī)重新啟動時，iptables初始指令文件會運(yùn)行/sbin/iptables-restore程序來使用保存規(guī)則。?范例練習(xí)以下將通過各種不同類型的范例來說明iptables的實際設(shè)置，讀者可以先由這些練習(xí)開始嘗試，待熟練后再加以修改其中的內(nèi)容，以符合實際環(huán)境的需求。新建鏈以下的范例將新建一個簡單鏈，可以定制鏈的名稱，不過最多不可超過31個字符，本書在此chain-1為例。在新建后，才可以開始將規(guī)則加入其中，在此應(yīng)該使用"-N”或"--new-chain”選項:[root@nslroot]#iptables-Nchain-n或[root@nslroot]#iptables-new-chainchain-1如果使用的鏈名已經(jīng)存在，系統(tǒng)會出現(xiàn)以下的錯誤信息：iptables:Chainalreadyexists刪除鏈以下的范例將刪除一個鏈，這里應(yīng)該用“-X”或“--delete-chain”選項，同時指定要刪除的鏈名：[root@nslroot]#iptables-Xchain-1或[root@nslroot]#iptables--delete-chainchain-]但是在刪除鏈時需注意以下幾個重點：?在此鏈中必須沒有存在任何規(guī)則。?此鏈不可為任何規(guī)則的目標(biāo)。?不可刪除任何內(nèi)置鏈。?如果沒有指定鏈名，可能會誤刪所有用戶定義的鏈。清空鏈的內(nèi)容以下的范例清空一個鏈的內(nèi)容，在此應(yīng)該使用*”或--flush”選項，同時指定要清空的鏈名，否則會清空所有鏈的內(nèi)容：[root@nslroot]#iptables-Fchain-l或[root@nslroot]#iptables-flushchain-l列出鏈的內(nèi)容以下的范例將列出鏈的內(nèi)容，在此應(yīng)該使用-L，或--list”選項，同時指定要列出內(nèi)容的鏈名，否則會列出所有鏈的內(nèi)容：[root@nslroot]#iptables-Lchain-l或[root@nslroot]#iptables--listchain-l因為目前范例為新建的鏈，因此列出的內(nèi)容中只包含字段名稱，如果希望得到較詳細(xì)的內(nèi)容，可以同時使用-V”選項：Chainchain-1(0references)Targetprotoptsourcedestination關(guān)閉所有服務(wù)為了達(dá)到最高的安全性，可以禁止所有進(jìn)出INPUTChain、FORWARDChain和OUTPUTChain的數(shù)據(jù)包，但因為此舉具有最高的優(yōu)選權(quán)，即如果選設(shè)置禁止服務(wù)，此后的所有允許的規(guī)則都將失效，所以建議將此步驟列為最后的步驟。以下是關(guān)閉所有服務(wù)的方法：[root@nslroot]#-PINPUTDENY[root@nslroot]#-PFORWARDKENY[root@nslroot]#-POUPPUTDENY提醒讀者一點，在設(shè)置任何的規(guī)則后，千萬不可重新啟動iptables服務(wù)，否則所有的設(shè)置都會被清空。[root@nslroot]#/etc/rc.d/init.d/iptablesrestart釋放所有目前的設(shè)置與用戶定義的chains：確定]清除所有的設(shè)置和用戶定義的chains：確定]套用iptables防火墻設(shè)置：確定]開放特定服務(wù)如果主機(jī)上提供某些服務(wù)，可以利用啟動該服務(wù)的連接端口，允許客戶端使用該服務(wù)，以下的范例表示開放FTP服務(wù)，因為FTP使用連接端口20和21，所以必須使用兩行指令：[root@nslroot]#iptables-AINPUT-iethl-ptcp--dport20-jACCEPT[root@nslroot]#iptables-AINPUT-iethl-ptcp--dport21-jACCEPT注：也可以直接使用服務(wù)名稱來替代連接商品號碼，請參考/etc/services文件內(nèi)容。關(guān)閉特定服務(wù)關(guān)閉原本提供的服務(wù)，其設(shè)置方法和開放服務(wù)時很相似，只是將-JACCEPT”修改為-jDROP”，以下的范例表示關(guān)閉原來開放的FTP服務(wù)：[root@nslroot]#iptables-AINPUT-iethl-ptcp-dport20-jDROP[root@nslroot]#iptables-AINPUT-iethl-ptcp--dport21-jDROP數(shù)據(jù)包過濾如果希望禁止網(wǎng)絡(luò)上某臺主機(jī)或某個網(wǎng)絡(luò)節(jié)點發(fā)送數(shù)據(jù)包，可以使用數(shù)據(jù)包過濾”功能。以下的范例會禁止所有來自/24網(wǎng)絡(luò)區(qū)段的主機(jī)，連接IP地址為6的Web服務(wù)器：[root@nslroot]#iptables-AFORWARD-pTCP-s/24-d6—dportwww-jDROP?防火墻簡單設(shè)置除了以上利用iptables程序的方式來設(shè)置防火墻外，在RedHatLinux中也包含了名為Tokki/的防火墻設(shè)置程序，它最大的好處是允許用戶利用預(yù)先設(shè)置的選項來進(jìn)行防火墻設(shè)置，雖然它的功能不如iptables程序強(qiáng)大，但是它極易上物的特性，確實獲得了許多用戶的青睞。所以在這個小節(jié)中，將介紹Toddik”程序的使用與設(shè)置時的選項說明。要啟動Tokkit”程序，可以在XWindow或文字模式下輸入Tokkit”，系統(tǒng)就會啟動“FirewallConfiguration"畫面，如圖1-15所示。在—FirewallConfiguration"畫面的—SecurityLevel"選項中，共包含3種內(nèi)置的安全性設(shè)置，即High、Medium和Nofirewall。以下是這些內(nèi)置安全性設(shè)置的說明：Hige這是安全性最高的選項，如果選擇此選項，在默認(rèn)的情形下，防火墻只會開放以下兩種服務(wù)的功能：DNS回應(yīng)。DHCP請求。如果主機(jī)目前已連接到Internet，但是并不想提供任何的服務(wù)，這是最好的選項。Medium這是RedHatLinux默認(rèn)的防火墻設(shè)置，如果選擇此選項，在默認(rèn)情況下系統(tǒng)會禁止以下服力:所有連接端口號碼小于1023的服務(wù)，如FTP、SSH、telnet和HTTP。?NFS服務(wù)（連接端口2049）。X字型服務(wù)器（連接端口7100）XWindow連接服務(wù)（連接端口6000~6009）。注：在高安全性和中等安全性的防火設(shè)置下，NIS與LDAP等網(wǎng)絡(luò)驗證方式將無法使用。Nofirewall這個選項表示沒有啟動防火墻的功能，也就是說，系統(tǒng)可以提供客戶端所有服務(wù)，而且不作任何安全性的檢查，它比較適合使用在內(nèi)部的網(wǎng)絡(luò)環(huán)境（不連接Internet）或系統(tǒng)測試時。如果這些內(nèi)置的安全性設(shè)置無法實際需求，那也可以利用定制的方式來設(shè)置。首先需將光標(biāo)移到"Custom"按鈕并按Ente