1、畢業論文 設計）論文 設計）題目：Iptables和NAT服務在校園網中的應用及維護系 別：專 業：學 號：姓 名：指導教師：時 間：畢業論文 設計）開題報告系別：計算機與信息科學系專業：網絡項目學號2007107707姓名 黃錦歡論文 設計）題目Iptables和NA服務在校園網中的應用及維護命題來源錯誤!教師命題 學生自主命題教師課題選題意義（不少于300字：本課題的目的是研究Iptables 和NAT服務在校園網中的應用及維護。隨著寬帶網絡的蓬勃發展和普及，互聯網已經在社會各個領域得到了廣泛的應用，特別是網絡進入校園之后，豐富了全體師生的的工作、學習和生活。然而我們在享受In terne

2、t帶來的便利的冋時，往往把網絡的安全問題拋之腦后，為了增加校園網絡的安全，保障校園網的穩定運行，需要將內部網與In ternet相隔離，防火墻是必不可少的防御機制，而專業的防火墻產品，一般的學校限于財力、技術實力往往不易采用。此時，Linux系統中強大的Iptables 和NAT服務為我們提供了很好的校園網安全解決方案，利用Iptables服務器建立相應的規則，實現對數據包的過濾，利用NAT服務器，實現共享上網、隱藏內部網絡，兩者相結合，形成了一個具有綜合功能的免費軟件防火墻，進一步提咼校園網 的網絡安全。因此，研究探索Iptables 和NAT服務在校園網中的應用與維護，對于校園網的安全與穩

3、定有著十分重要的意義。研究綜述（前人的研究現狀及進展情況，不少于600字>：1、Iptables 與NAT服務的發展過程Iptables 并不是 Linux中最早出現的防火墻軟件，它的前身是ipchains ， ipchains 隨Linux內核一起發行，發展到Linux 2.4.x 內核后，ipcha ins逐漸被功能強大的iptables取代了。與以前的ipchains 比, iptables最大的優點是它可以配置有狀態的防火墻，即iptables 會檢查數據包的源和目的IP地址、源和目的端口、流入數據包的順序號、TCP先后順序的信息及頭標記<SYN ACKFIN、RST等）的

4、狀態，這是ipchains 和ipfwadm等以前的工具都無法提供的重要功能。Iptables 全跟蹤整個連接會話，從而使整個過濾過程相互關聯，這可以提高信息包過濾的效率和速度。NAT則大多使用于路由器當中，隨著Linux內核的不斷完善，NAT也能依托強大的iptables 實現服務。2、現階段Iptables 與NAT服務在校園網中應用還不廣泛中國互聯網起步較晚，可是在經過十多年的發展后，校園互聯網絡已經基本普及，面對著浩瀚的網 絡世界，有新奇，也有風險。木馬、病毒、惡意攻擊，都會影響人們的正常工作、學習。通過調查顯 示，還有較大一部分的校園網絡并未采取有效的安全策略。而iptables 與

5、NAT服務則用于Linux平臺，對于國內普通用戶而言，這本身就是一大防礙。，國外的Linux用戶較多，技術更新也較快，對于iptables 與NAT服務在網絡中的應用與維護的研究開展得早，技術也相對成熟。國內對這方面的研 究相對較少，很多文獻都沒有中文的版本，這也給研究者帶來相當大的難度。當然，一些中小型企業 也在研究并利用iptables 與NAT服務構架出了適合自己的安全機制。而因為各個學校網絡結構、網絡 安全需求、服務需求的差異，使得iptables 與NAT服務在校園網應用過程中必須按各自的實際需求配置，這也豐富了課題研究和探索。3、未來Iptables與NAT服務在校園網中的發展人們

6、對于網絡的認識在逐步加深，對網絡的安全要求也越來越高，而Linux下的iptables 與NAT服務依靠其強大的防火墻功能，加上其完全免費的優勢，勢必得到更多人的親睞，對于iptables 與NAT服務在校園網中的應用與維護的研究，必將迎來一次機遇。研究的目標和主要內容 不少于400字）本課題采用Linux內核的iptables 和NAT服務，依據校園網絡的結構、安全策略、服務需求，合 理制定規則配置iptables 服務器與NAT服務器，并為之提供維護方案，保障學校網絡安全的、穩定的 提供服務。本選題研究內容如下：1、 Iptables服務器和 NAT服務器的基本知識。了解iptables的

7、規則、鏈、表各自的含義與iptables傳輸數據包的過程，iptables的命令格式和使用方法。了解NAT的含義，及其工作原理，工作方式，實現方法。2、制訂校園網絡安全策略。此前必須找出需要過濾保護的服務器，條列出服務器將提供何種網絡 服務，一般工作站需要何種等級保護，了解網絡架構與服務器擺放位置。3、 根據校園的安全策略，對iptables 服務器與NAT服務器進行配置。進行規則的編寫，并記錄下 所用的命令，以便日后維護。4、調試服務器，看服務器是否達到策略要求。5、服務器的維護研究。擬采用的研究方法1、查找并閱讀相關資料，了解基本內容。2、整理資料，制定安全策略文檔，對整個項目進行架構。3

8、、根據安全策略文檔，在實驗性服務器上配置。4、調試與維護服務器。研究工作的進度安排2018年11月24日一2018年11月28日 論文 設計）選題2018年11月29日一2018年01月10日，收集整理資料，完成文獻綜述和開題報告，論文設計）提綱2018年02月一2018年03月，制定安全策略，進行服務器配置2018年03月一2018年04月，完善配置，測試服務器2018年04月一2018年05月，擴大實驗，歸納總結，完成畢業設計論文初稿2018年05月一2018年06月，修改畢業論文定稿，打印裝訂，參加答辯參考文獻目錄 作者、書名或論文題目、出版社或刊號、出版年月日或出版期號）1 斯桃李，李

9、戰國計算機網絡系統集成M 北京：北京大學出版社，20072 楊明華，譚勵，于重重.Linux系統與網絡服務器管理技術大全M 北京：電子工業出版社，20083 肖永生丄inux網絡服務器設置與管理M.北京：海洋出版社,20064 楊建新，竇林卿.Red Hat Linux9 入門與提高M.北京：清華大學出版社，20065 Christopher Negus美.Linux寶典(第4版>M.韓東儒，張波譯.北京：人民郵電出版社，2008.6 王曉，劉乃琦，王榕利用Netfilter/lptables構建安全局域網J.中國電子科技大學互聯網交換架構實驗室，四川成都.6100547 王衛星，李斌.

10、基于Netfilter 的Linux防火墻J. 福建電腦FUJIAN C0MPUTER2009年第25卷第3 期8 王莉，黃光明，劉志愚基于 Linux的具有DM防火墻的實現J.微機發展期刊.2004, 14(4> : 71 779 王繼魁，基于Linux的netfilter/iptables 防火墻的實現J.通化師范學院學報.2018, 31(2> :55 5610 梁子森，李曉軍，王志剛.基于 Linux的IPtables共享上網及防火墻配置J.計算機與現代化期刊.2008, (8> : 51 53指導教師意見簽名：年月日教研室主任意見簽名：年月日目錄摘要7 關鍵詞7 引

11、言71 Iptables簡介 72 Iptables基礎 82.1 規則 vrules ) 82.2 鏈<chains ) 82.3 表vtables ) 93 iptables傳輸包過程104 Iptables 基本命令格式10 5校園網絡的構建115.1制定校園網張的安全策略125.2校園網絡拓撲136 iptables 在校園網中的應用136.1關閉系統防火墻136.2 啟動 iptables 146.3 網卡的配置 146.4 NAT 服務器配置，實現校園網絡共享上網 156.5 iptables 軟件防火墻設置 167 服務器的維護 188 與其它防火墻的比較 189 結束語

12、19參考文獻 19Abstract20Keywords20致謝 20Iptables和NAT服務在校園網中的應用及維護網絡項目專業指導老師摘要 校園網絡的蓬勃發展，讓網絡的安全問題成為了人們關注的焦點。本文介紹了Linux平臺下的 iptables 服務，簡述了 iptables 的基本原理與工作機制。以校園網絡為應用實例，通過配 置 iptables 實現 NAT 共享上網。用 iptables 和 NAT 服務打造出高效、安全的校園網絡環境。關鍵詞 Linux ； Iptables； NAT ；防火墻引言隨著寬帶網絡的蓬勃發展，互聯網已經在社會的各個領域得到了廣泛應用。伴隨 著網絡進校園的

13、春風，學校的師生也能在日常的工作生活中充分享受到了現代網絡帶 來的便利。然而我們在網絡世界盡情遨游之時，往往把網絡的安全問題拋之腦后，為 了增加校園網絡的安全，保障校園網的穩定運行，需要將內部網與 Internet 相隔 離，防火墻以一個網絡衛士的身份應運而生，實現著管理者的安全策略，有效地保護 校園網絡的安全。校園網絡有別于大型企業網絡，它有其獨特之處，如：網絡拓撲結構簡單；網絡 安全需求相對較低；用于網絡建設與維護的資金不充裕等。鑒于上述特點，校園網絡 的安全不允許也無必要追求價格昂貴的硬件防火墻， Linux 系統中強大的 iptables 服務成為了校園網絡安全問題的最佳選擇方案。此時

14、只需利用一臺 Linux 主機作網 關，在其上運行 iptables 服務器，制定相應的數據包過濾規則，讓每一個進出的數 據包都按規則處理，通過iptables 實現NAT服務，使局域網通過一個IP地址連接 internet ，有效地實現局域網共享上網。既節儉了網絡費用，解決 IP 地址短缺困難，又能屏蔽內部局域網抵御一定的網絡攻擊。1 Iptables 簡介iptables 是 Linux 內核集成的一款免費包過濾防火墻軟件，它能代替昂貴的商 業防火墻完成封包過濾，封包重定向和網絡地址轉換等功能。通過 iptables 服務， 能更好的控制內部局域網與外部因特網之間的通信，控制 IP 信息包

15、過濾和防火墻配 置。Iptables 的前身是 ipchains ，ipchains 隨著 Linux2.2.x 內核一起發行，發展 到 Linux2.4.x 內核后， ipchains 逐漸被功能強大的 iptables 所取代， iptables 之 所以能取代之前的 ipchains ，是因為它能夠配置有狀態的防火墻，它可以檢查數據 包的源和目的 IP 地址、源和目的端口、流入數據包的順序號、 TCP 先后順序的信息 及頭標記 <SYN、ACK、FIN、RST 等）的狀態，這些功能都是 ipchains 無法提供的， iptables 跟蹤整個連接會話，從而使整個過濾過程相互關聯，

16、這大大提高了信息包 過濾的效率和速度。iptables 信息包過濾系統由 netfilter 和 iptables 兩個組件組成。netfilter 組件也稱為內核空間 <kernelspace ），是內核的一部分，由一些信息 包過濾表組成，這些表包含內核用來控制信息包過濾處理的規則集。iptables 組件是一種工具，也稱為用戶空間 <userspace ），它使插入、修改和 刪除信息包過濾表中的規則變得容易。2 Iptables 基礎2.1 規則 <rules）規則是用戶在 iptables 服務器上預先設定的包過濾條件，它的語義一般為“如 果數據包符合XX條件，就XX處

17、理這個數據包”。規則儲存于內核空間的信息包過濾 表中，這些規則分別指定了源地址、目的地址、傳輸協議<如TCP UDR ICMP和服務類型 <如HTTR FTP和SMTP等。如果數據包與規則相匹配，iptables就會根據規 則預先制定的方法來處理數據包，處理動作有放行vaccept）、拒絕vreject ）和丟棄vdrop ）等。所以我們在配置iptables服務器時，最主要的工作就是添加、修改和刪 除這些規則。2.2 鏈 <chai ns）鏈是數據包傳播路徑，整個iptables 服務一共只有五條鏈，分別為INPUT鏈;OUTPU鏈;FORWARD; PREROUTING;

18、 POSTROUTING。每一條鏈中都可能包含有 一條或數條規則，而每一條鏈又將作為一個檢查站，當一個數據包到達一個鏈時， iptables 則啟動數據包過濾功能，根據該鏈中的規則逐條依照次序進行檢查，如果 有找到與規則匹配條件，則按照規則預先定義的處理方式進行數據包處理，若當鏈中 的每一條規則都進行過了檢查而又無法匹配數據包，則認為該數據包不符合條件，此 時則按照該鏈中預先定義的默認策略進行數據包的處理。2.3 表 vtables)iptables 內置filter 、nat和 mangle三個功能表，數據過濾表 filter 包含 INPUT FORWARDOUTPU三個鏈；網絡地址轉換表

19、 nat 包含 PREROUTINGOUTPUT POSTROUTING個鏈；數據處理表 mangle包含 PREROUTINGOUTPU兩個鏈。圖 2.3 iptables 結構Filter 表是iptables的核心，它的主要任務就是數據包過濾，由filter 表進入iptables系統的數據包根據路由表決定將數據包發送給哪一條鏈，之后數據包會與鏈中所包含的規則逐條進行匹配，根據檢查的結果按照規則預先定義的方法進行處 理。(1如果數據包的目的地址為本機，系統則會將數據包發往INPUT鏈，如果能與鏈中的相應規則匹配，則可以進入下一步的處理過程，否則此數據包將被丟棄。（2如果數據包的目的地址不

20、是本機，系統將把它轉發到FORWARDS，如果系統的轉發功能已經啟動，那么這個數據包將按照它所攜帶的相應接口信息被發往目的 地，但是如果系統尚未開啟轉發功能，此數據包將被丟棄。（3如果數據包是因為本機的進程所產生的，系統將會把該數據包送往OUTPUT鏈，如果它能與鏈中的相應規則匹配，那么這個數據包將按照它所攜帶的相應接口信 息被發往目的地，若未通過規則檢查，該包將被系統丟棄。網絡地址轉換nat）就是通過特定的手段來改變進出系統的數據包的IP地址，包括改變源IP地址/端口地址或目的IP地址/端口地址，分為源地址轉換 SNAT和目 的地址轉換DNAT利用NAT技術可以把內部局域網的私有地址映射為外

21、部因特網的 真實IP地址，有效緩解了 IP地址緊缺問題，還能屏蔽內部網絡結構，實現IP偽裝，有效的提高了網絡的安全性。Mangle表的主要作用是可以實現路由前對數據報文的報頭修改，或者給數據報 文附上一些數據，供其他軟件識別做進一步的處理。3 iptables 傳輸包過程流入的數據包流出的數據包PREROUTING轉 發 S POSTROUTING圖3.1 iptables傳輸過程如圖所示：數據包進入系統時，首先進入PREROUTIN鏈，內核根據數據包目的IP判斷數據包的下一步操作；如果數據包是發給本機的，則進入 INPUT鏈，此時任 何進程都會收到它。而本機運行的程序發送的數據包會經過out

22、puts，然后到達postroutins輸出；如果數據包的目的地址不是本機而需要轉發，則系統必須開啟有轉發功能，此時數據包將沿著 FORWARD到達POSTROUTING輸出。無論數據包在到達的哪個鏈，iptables 都會根據鏈中定義的規則來處理數據包。iptables 將數據包的包頭信息與到達的相應鏈規則進行比較，若數據包與某條 規則完全匹配，則按照規則預先定義的方法處理該數據包；如果該包不符合鏈中任何 一條規則，那么iptables將根據預先定義的默認策略來決定如何處理該數據包。4 Iptables 基本命令格式Iptables的命令格式較為復雜，一般格式為：Iptables -t表-命

23、令匹配操作命令中包含了 iptables所在的工作表；表中的哪一條鏈；對鏈進行何種操作插入、添加、刪除、修改）；對所設定的規則進行何種目標動作以及對于規則該使用的 相關匹配條件，以下的三個表中介紹了一些常用的選項：表41命令選項命令說明-A在列表的最后增加1條規則-I在指定的位置插入1條規則-D從規則列表中刪除1條規則-R替換規則列表中的某條規則-L查看iptables 規則列表-F刪除表中的所有規則表4 2 匹配選項匹配說明-p指定數據匹配的協議，如 tcp，udp，icmp等-i數據包輸入網絡接口-o數據包輸岀網絡接口-s數據包源地址-d數據包目標地址-sport數據包源端口號-dport

24、數據包目標端口號表4 3動作選項動作說明ACCEPT接受數據包DROP丟棄數據包SNAT源地址轉換DNAT目標地址轉換MASQUERADEIP偽裝LOG日志功能5校園網絡的構建隨著In ternet的普及，學校的教案與管理對網絡的依賴性越來越強，校園網絡 環境的安全問題被越來越多的學校和教育機構所重視。如何創建安全、高效的校園網 絡成為了一個難題。限于教育資金的緊缺，對于網絡這一塊的投入相對較少，所以對于安全設備的選取面相對就窄了，專業的安全設備價格昂貴，這是一些學校難以承受之重。此時 Linux 平臺下的 iptables 以其安全、高效、開源、免費等特點，成為了 校園網絡安全建設中的首選方

25、案。5.1 制定校園網張的安全策略 要組建一個既經濟又安全高效的校園網絡，就必須從設計之初開始著手調查，摸 清這個項目的網絡需求，需要的安全等級。在設定防火墻之前，根據校園網絡的安全 需求，預先擬定一份合適的安全策略，其所需要的事先準備工作為： 了解網絡的拓撲構想與服務器所需要擺放的位置； 整理出所需要保護的服務器的相關資料； 評估網絡的整體所要求的保護等級； 根據以上事先了解的數據資料，可以制定一份安全策略： 校園網絡的安全需求不高，服務器與工作站可以擺放在同一網段上，不需要采 用防火墻緩沖區設計，簡化網絡拓撲，節約成本； 校園網絡規模較小，校園內網使用 NAT虛擬網絡，IP地址只需要一組，

26、所有IP都通過IP偽裝，通過NAT服務共享上網； 在沒有特別配置的時候，所有的工作站自由使用網絡資源，不限制只能訪問網頁，服務器提供 WEB FTP、EMAIL DNS服務，用以滿足校園的日常需要，不提供proxy 及其它網絡服務； 為了增加校園網絡的安全性，其過濾規則采用正面表列方式進行封包過濾定義想放行的封包，其它的包一律阻擋）網絡的安全策略可以根據需要隨時增加，總之校園網絡所需要防范的網絡安全風 險很多，制定策略的人員也不可能一一都能洞察到，只能大體上設定一個最初的安全 要求，在日后的維護中，可以彈性的增刪，一切只為了能給校園一個高效安全的、符 合校園需求的網絡環境。5.2校園網絡拓撲I

27、ntern&t202 ethO圖5.2校園網絡拓撲如圖所示，校園網絡中有幾個比較重要的服務，如WEB FTP EMAIL等，要構建一個實用的校園網絡，這些服務是必不可少的。Linux系統上用APACHE!行 WE曲艮務，使用的服務端口為80，所采用的是tcp或者udp協議。因為FTP有命令通道和 數據通道的區別，所以FTP服務需要兩個端口來支持，其中的數據端口為20，命令端口為21，而FTP服務又有主動服務和消極服務兩種模式，為了提高網絡的安全 性，在此我們選擇消極服務模式。EMAIL服務包含SMTP和 POP3兩種協議，在此我們 僅對SMTP協議的安全性問題進行分析，其端口號為21。

28、對于這些特定的服務，我們既要保證能夠讓師生正常的訪問，同時我們還要能做到防止非法入侵，禁止一切未經 允許的數據包進入校園網絡，影響網絡安全。6 iptables在校園網中的應用6.1關閉系統防火墻在安裝Linux過程中，多數用戶都開啟了系統防火墻，因為系統防火墻功能也依 托iptables 來實現，因此用戶在配置iptables 的同時，規則可能與系統防火墻沖 突。所以在使用iptables配置之前，必須先關閉系統防火墻。方法：執行“setup ”命令啟動文字模式配置實用程序，在出現在界面上的選項 中選擇“ Firewallconfiguration ”，此時進入防火墻配置頁面，選中“ No

29、firewall ”選項，按“ ok”，則完成對系統防火墻的關閉，之后可以開始配置用戶自定義的iptables 防火墻。6.2 啟動 iptables先確認iptables是否安裝，使用命令：#rpm -qa|grep iptables啟動命令：#service iptables start為了使開機時能自動運行 iptables，可以在終端機窗口中輸入“ ntsysv ”指令 然后在出現的畫面中，利用上下方向鍵將光標移到菜單中的“iptables ”項目 同時確定ipchains選項沒有被選中），然后按空格鍵以選擇，最后利用 Tab鍵將光標移 到“確定”選項完成設置，如圖：圖6.2.1 開啟

30、iptables 服務6.3網卡的配置在Linux主機上安裝兩塊網卡，要求能被系統識別。網卡1為ethO，用來連接外網，網卡2為eth1，用以連接內部網絡。配置eth0設定網卡1的IP地址為 ，子網掩碼為 ，是其在in ternet上所分配到的合法IP地址，連接外部網絡。為了能讓網卡設置能永久保存，需要修改它的相關配置文件/etc/sysc on fig/network-scripts/ifcfg-eth0 ，內容為：DEVICE=eth0 # 網卡設備名BOOTPROTO=static #IP 地址為靜態指定BROADCAST=55 #網卡的廣播地址ONBOOT=y

31、es#TYPE=Ethernet# 網卡的 IP 地址# 網卡的子網掩碼# 網卡的網絡地址 系統啟動時激活該網卡 網卡類型為以太網配置 eth1設定網卡 2 的 IP 地址為 ，子網掩碼為 ，修改它的相 關配置文件 /etc/sysconfig/network-scripts/ifcfg-eth1 ，內容為：DEVICE=eth1BOOOTPROTO=staticONBOOT=yesTYPE=Ethernet 重啟網卡則設置生效。6.4 NAT服務器配置，實現校園網絡共享上網網絡上的合法 IP 地址是有限資源，無法為內部網絡的每一臺主機都配置

32、正式地址，這里通過iptables的NAT功能，將私有地址轉換為外部合法的IP 地址 0 ，用以實現整個網絡的共享上網。編寫腳本：#echo 1> /proc/sys/net/ipv4/ip_forward #打開內核轉發功能#iptables -F # 清空默認規則#iptables -Z # 復位數據包計數器允許到內#iptables -P FORWARD DROP #不允許未指定的數據轉發#iptables -A FORWARD -i eth0 -dst -j ACCEPT #部網絡的主機的轉發#iptables -A POSTROUTING -t nat

33、 -s -j SNAT -o eth0 - -to-source 0 # 將內部網絡地址轉換成 #iptables - A FORWARD I ethl - o ethO - s /24- d 0/0- jACCEPT #允許從局域網轉發的所有包此時所有主機都將以 0 這個 IP 地址對外訪問。這實現了共享上 網，也實現了 IP 偽裝，有效的隱藏了內部網絡拓撲，提高了網絡的安全。6.5 iptables軟件防火墻設置#iptables -F#清空所有規則#iptables -P INPUT DROP#iptables -

34、P OUTPUT DROP#iptables -P FORWARD DROP#定義默認規則，禁止所有 IP 傳輸#iptables -A INPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables - A OUTPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables -A FORWARD - m- state - stateESTABLISHED,RELATED -j ACCEPT#iptables -t -nat -A PREROUTING -m - state -

35、state ESTABLISHED,RELATED -j ACCEPT#iptables -t -nat -A POSTROUTING -m - state-stateESTABLISHED,RELATED -j ACCEPT#建立狀態數據包檢查功能#防止 IP 欺騙#iptables -A INPUT -ilo -j ACCEPT#iptables - A OUTPUT -olo -j ACCEPT#啟用回環接口， IP 數據報可以在 eth0 與 eth1 之間傳輸。#從內部網發出的數據能被 eth1 接口接受#從 eth1 接口向 網絡輸出數據是允許的#iptables -A FORWA

36、RD -i eth0 -dst -j ACCEPT #允許到內部網絡的主機的轉發#iptables -t nat -A POSTROUTING -s -j SNAT -o eth0 - to-source #將內部網絡地址轉換成 #iptables - A FORWARD i ethl - o ethO - s /24- d 0/0- jACCEPT #允許從局域網轉發的所有包#iptables -A INPUT- f -i eth0 -j DROP#禁止所有分片包，防止分片包攻擊WW服務器的ip地址為,服務端口為80,采用tcp或udp協議。允 許

37、目的地址為內部網絡 WW服務器的包通過iptables防火墻：#iptables - t nat - A PREROUTINGp tcp - s 0/0-d0-dport 80- j DNAT - to - dst - j ACCEPT#iptables - t nat - A PREROUTINGp udp - s 0/0-d0-dport 80- j DNAT - to - dst - j ACCEPT要允許遠程SSH訪問，定義以下規則：#iptables -A INPUT -p tcp -dp

38、ort 22 -j ACCEPT#iptables -A OUTPUT -p udp -sport 22 -j ACCEPTFTP服務器的ip地址為,服務端口為20和21，允許目的地址為內 部網 ftp 服務器的包通過 iptables 防火墻；。#iptables - t nat - A PREROUTINGp tcp - s 0/0-d0-dport 20- j DNAT - to - dst - j ACCEPT#iptables - t nat - A PREROUTINGp tcp - s 0/0-d202.103

39、.221.50-dport 21- j DNAT - to - dst - j ACCEPTEMAIL服務smtp服務器的ip地址為,服務端口為25,僅允許目的 地址為內部網絡 smtp 服務器的數據包通過 iptables ：#iptables - t nat - A PREROUTING p tcp - s 0/0- d 0-dport 25- j DNAT - to - dst - j ACCEPTDNS!艮務器的ip地址為,服務端口為53,僅允許目的地址為內部網DNS艮務器

40、的包通過iptables防火墻;#iptables - t nat -A PREROUTING- p udp - s 0/0- d 0 -dport 53 - j DNAT - to - dst - j ACCEPT禁止特洛伊木馬會掃描端口 31337#iptables -A OUTPUT -o eth0 -p tcp -dport 31337 -sport 31337 -j DROP#iptables -A FORWARD-o eth0 -p tcp -dport31337 -sport 31337 -jDROP通過上面的簡單配置，一個小型的校

41、園網絡防火墻就完成了，之前所建立的規則 都會被保存到內核中，但是當系統重啟時，這些規則將會全部丟失。我們在希望系統 每次重新引導后都能使用這些規則，使用命令 iptables-save 可以達到目的：#iptables-save> iptablesboot此時信息包過濾表中的規則被保存于文件iptablesboot中，如需在系統重新啟動后使用該規則集，運行命令：#iptables restore iptables script還有一種方法則是為了更方便用戶，專門建立了一個存放 iptables 的文件，即/etc/sysconfig/iptables, 用戶只需要在配置完成后運行命令：#

42、iptables-save> /etc/sysconfig/iptables 在每次系統重啟或者 iptables 服務重啟時，用戶的規則集都將被系統讀取到。7 服務器的維護要想讓一臺服務器高效永久的提供服務，做好日常的維護工作是必不可少的，當 然首先要做好的是重要數據的備份，如 iptables 規則的相關腳本備份，將規則文件 保存到當前用戶目錄下： iptables-save > /etc/sysconfig/iptables，相關的命令也必須以文本的形式保存，以便能在服務器崩潰之時迅速的完成相關規則的恢復。除 了軟件方面的維護之外，硬件的設備也需要定時檢查，看是否有設備出現異

43、常，放置 服務器的環境要求很高，環境、設備、人員等綜合因素決定了服務器是否能夠長時間 無故障的保持服務。這對于學校的管理人員來說，這將是其工作的重點。8 與其它防火墻的比較iptables 配置的防火墻是基于狀態的，防火墻可以從信息包的連接跟蹤狀態獲 得該信息。在決定新的信息包過濾時，防火墻所使用的這些狀態信息可以增加其效率和速度。它使用戶可以完全控制防火墻配置和信息包過濾。人們可以按自己的應用需 求來配置自己的規則，從而只允許自己想要的網絡流量進入系統。另外， iptables 是免費的，這對于那些想要節省費用的人來說十分理想，它可以代替昂貴的防火墻解 決方案。9 結束語一個好的網絡環境，離不開防火墻的支持，而 Linux 系統下 iptables 構建的防 火墻，以其經濟、高效與免費等特點，受到了越來越多用戶的青睞，防火墻不一定最