IptablesNAT服务在校园网中应用维护

1、毕业论文 设计）论文 设计）题目：Iptables和NAT服务在校园网中的应用及维护系 别：专 业：学 号：姓 名：指导教师：时 间：毕业论文 设计）开题报告系别：计算机与信息科学系专业：网络项目学号2007107707姓名 黄锦欢论文 设计）题目Iptables和NA服务在校园网中的应用及维护命题来源错误!教师命题 学生自主命题教师课题选题意义（不少于300字：本课题的目的是研究Iptables 和NAT服务在校园网中的应用及维护。随着宽带网络的蓬勃发展和普及，互联网已经在社会各个领域得到了广泛的应用，特别是网络进入校园之后，丰富了全体师生的的工作、学习和生活。然而我们在享受In terne

2、t带来的便利的冋时，往往把网络的安全问题抛之脑后，为了增加校园网络的安全，保障校园网的稳定运行，需要将内部网与In ternet相隔离，防火墙是必不可少的防御机制，而专业的防火墙产品，一般的学校限于财力、技术实力往往不易采用。此时，Linux系统中强大的Iptables 和NAT服务为我们提供了很好的校园网安全解决方案，利用Iptables服务器建立相应的规则，实现对数据包的过滤，利用NAT服务器，实现共享上网、隐藏内部网络，两者相结合，形成了一个具有综合功能的免费软件防火墙，进一步提咼校园网 的网络安全。因此，研究探索Iptables 和NAT服务在校园网中的应用与维护，对于校园网的安全与稳

3、定有着十分重要的意义。研究综述（前人的研究现状及进展情况，不少于600字>：1、Iptables 与NAT服务的发展过程Iptables 并不是 Linux中最早出现的防火墙软件，它的前身是ipchains ， ipchains 随Linux内核一起发行，发展到Linux 2.4.x 内核后，ipcha ins逐渐被功能强大的iptables取代了。与以前的ipchains 比, iptables最大的优点是它可以配置有状态的防火墙，即iptables 会检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记<SYN ACKFIN、RST等）的

4、状态，这是ipchains 和ipfwadm等以前的工具都无法提供的重要功能。Iptables 全跟踪整个连接会话，从而使整个过滤过程相互关联，这可以提高信息包过滤的效率和速度。NAT则大多使用于路由器当中，随着Linux内核的不断完善，NAT也能依托强大的iptables 实现服务。2、现阶段Iptables 与NAT服务在校园网中应用还不广泛中国互联网起步较晚，可是在经过十多年的发展后，校园互联网络已经基本普及，面对着浩瀚的网 络世界，有新奇，也有风险。木马、病毒、恶意攻击，都会影响人们的正常工作、学习。通过调查显 示，还有较大一部分的校园网络并未采取有效的安全策略。而iptables 与

5、NAT服务则用于Linux平台，对于国内普通用户而言，这本身就是一大防碍。，国外的Linux用户较多，技术更新也较快，对于iptables 与NAT服务在网络中的应用与维护的研究开展得早，技术也相对成熟。国内对这方面的研 究相对较少，很多文献都没有中文的版本，这也给研究者带来相当大的难度。当然，一些中小型企业 也在研究并利用iptables 与NAT服务构架出了适合自己的安全机制。而因为各个学校网络结构、网络 安全需求、服务需求的差异，使得iptables 与NAT服务在校园网应用过程中必须按各自的实际需求配置，这也丰富了课题研究和探索。3、未来Iptables与NAT服务在校园网中的发展人们

6、对于网络的认识在逐步加深，对网络的安全要求也越来越高，而Linux下的iptables 与NAT服务依靠其强大的防火墙功能，加上其完全免费的优势，势必得到更多人的亲睐，对于iptables 与NAT服务在校园网中的应用与维护的研究，必将迎来一次机遇。研究的目标和主要内容 不少于400字）本课题采用Linux内核的iptables 和NAT服务，依据校园网络的结构、安全策略、服务需求，合 理制定规则配置iptables 服务器与NAT服务器，并为之提供维护方案，保障学校网络安全的、稳定的 提供服务。本选题研究内容如下：1、 Iptables服务器和 NAT服务器的基本知识。了解iptables的

7、规则、链、表各自的含义与iptables传输数据包的过程，iptables的命令格式和使用方法。了解NAT的含义，及其工作原理，工作方式，实现方法。2、制订校园网络安全策略。此前必须找出需要过滤保护的服务器，条列出服务器将提供何种网络 服务，一般工作站需要何种等级保护，了解网络架构与服务器摆放位置。3、 根据校园的安全策略，对iptables 服务器与NAT服务器进行配置。进行规则的编写，并记录下 所用的命令，以便日后维护。4、调试服务器，看服务器是否达到策略要求。5、服务器的维护研究。拟采用的研究方法1、查找并阅读相关资料，了解基本内容。2、整理资料，制定安全策略文档，对整个项目进行架构。3

8、、根据安全策略文档，在实验性服务器上配置。4、调试与维护服务器。研究工作的进度安排2018年11月24日一2018年11月28日 论文 设计）选题2018年11月29日一2018年01月10日，收集整理资料，完成文献综述和开题报告，论文设计）提纲2018年02月一2018年03月，制定安全策略，进行服务器配置2018年03月一2018年04月，完善配置，测试服务器2018年04月一2018年05月，扩大实验，归纳总结，完成毕业设计论文初稿2018年05月一2018年06月，修改毕业论文定稿，打印装订，参加答辩参考文献目录 作者、书名或论文题目、出版社或刊号、出版年月日或出版期号）1 斯桃李，李

9、战国计算机网络系统集成M 北京：北京大学出版社，20072 杨明华，谭励，于重重.Linux系统与网络服务器管理技术大全M 北京：电子工业出版社，20083 肖永生丄inux网络服务器设置与管理M.北京：海洋出版社,20064 杨建新，窦林卿.Red Hat Linux9 入门与提高M.北京：清华大学出版社，20065 Christopher Negus美.Linux宝典(第4版>M.韩东儒，张波译.北京：人民邮电出版社，2008.6 王晓，刘乃琦，王榕利用Netfilter/lptables构建安全局域网J.中国电子科技大学互联网交换架构实验室，四川成都.6100547 王卫星，李斌.

10、基于Netfilter 的Linux防火墙J. 福建电脑FUJIAN C0MPUTER2009年第25卷第3 期8 王莉，黄光明，刘志愚基于 Linux的具有DM防火墙的实现J.微机发展期刊.2004, 14(4> : 71 779 王继魁，基于Linux的netfilter/iptables 防火墙的实现J.通化师范学院学报.2018, 31(2> :55 5610 梁子森，李晓军，王志刚.基于 Linux的IPtables共享上网及防火墙配置J.计算机与现代化期刊.2008, (8> : 51 53指导教师意见签名：年月日教研室主任意见签名：年月日目录摘要7 关键词7 引

11、言71 Iptables简介 72 Iptables基础 82.1 规则 vrules ) 82.2 链<chains ) 82.3 表vtables ) 93 iptables传输包过程104 Iptables 基本命令格式10 5校园网络的构建115.1制定校园网张的安全策略125.2校园网络拓扑136 iptables 在校园网中的应用136.1关闭系统防火墙136.2 启动 iptables 146.3 网卡的配置 146.4 NAT 服务器配置，实现校园网络共享上网 156.5 iptables 软件防火墙设置 167 服务器的维护 188 与其它防火墙的比较 189 结束语

12、19参考文献 19Abstract20Keywords20致谢 20Iptables和NAT服务在校园网中的应用及维护网络项目专业指导老师摘要 校园网络的蓬勃发展，让网络的安全问题成为了人们关注的焦点。本文介绍了Linux平台下的 iptables 服务，简述了 iptables 的基本原理与工作机制。以校园网络为应用实例，通过配 置 iptables 实现 NAT 共享上网。用 iptables 和 NAT 服务打造出高效、安全的校园网络环境。关键词 Linux ； Iptables； NAT ；防火墙引言随着宽带网络的蓬勃发展，互联网已经在社会的各个领域得到了广泛应用。伴随 着网络进校园的

13、春风，学校的师生也能在日常的工作生活中充分享受到了现代网络带 来的便利。然而我们在网络世界尽情遨游之时，往往把网络的安全问题抛之脑后，为 了增加校园网络的安全，保障校园网的稳定运行，需要将内部网与 Internet 相隔 离，防火墙以一个网络卫士的身份应运而生，实现着管理者的安全策略，有效地保护 校园网络的安全。校园网络有别于大型企业网络，它有其独特之处，如：网络拓扑结构简单；网络 安全需求相对较低；用于网络建设与维护的资金不充裕等。鉴于上述特点，校园网络 的安全不允许也无必要追求价格昂贵的硬件防火墙， Linux 系统中强大的 iptables 服务成为了校园网络安全问题的最佳选择方案。此时

14、只需利用一台 Linux 主机作网 关，在其上运行 iptables 服务器，制定相应的数据包过滤规则，让每一个进出的数 据包都按规则处理，通过iptables 实现NAT服务，使局域网通过一个IP地址连接 internet ，有效地实现局域网共享上网。既节俭了网络费用，解决 IP 地址短缺困难，又能屏蔽内部局域网抵御一定的网络攻击。1 Iptables 简介iptables 是 Linux 内核集成的一款免费包过滤防火墙软件，它能代替昂贵的商 业防火墙完成封包过滤，封包重定向和网络地址转换等功能。通过 iptables 服务， 能更好的控制内部局域网与外部因特网之间的通信，控制 IP 信息包

15、过滤和防火墙配 置。Iptables 的前身是 ipchains ，ipchains 随着 Linux2.2.x 内核一起发行，发展 到 Linux2.4.x 内核后， ipchains 逐渐被功能强大的 iptables 所取代， iptables 之 所以能取代之前的 ipchains ，是因为它能够配置有状态的防火墙，它可以检查数据 包的源和目的 IP 地址、源和目的端口、流入数据包的顺序号、 TCP 先后顺序的信息 及头标记 <SYN、ACK、FIN、RST 等）的状态，这些功能都是 ipchains 无法提供的， iptables 跟踪整个连接会话，从而使整个过滤过程相互关联，

16、这大大提高了信息包 过滤的效率和速度。iptables 信息包过滤系统由 netfilter 和 iptables 两个组件组成。netfilter 组件也称为内核空间 <kernelspace ），是内核的一部分，由一些信息 包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具，也称为用户空间 <userspace ），它使插入、修改和 删除信息包过滤表中的规则变得容易。2 Iptables 基础2.1 规则 <rules）规则是用户在 iptables 服务器上预先设定的包过滤条件，它的语义一般为“如 果数据包符合XX条件，就XX处

17、理这个数据包”。规则储存于内核空间的信息包过滤 表中，这些规则分别指定了源地址、目的地址、传输协议<如TCP UDR ICMP和服务类型 <如HTTR FTP和SMTP等。如果数据包与规则相匹配，iptables就会根据规 则预先制定的方法来处理数据包，处理动作有放行vaccept）、拒绝vreject ）和丢弃vdrop ）等。所以我们在配置iptables服务器时，最主要的工作就是添加、修改和删 除这些规则。2.2 链 <chai ns）链是数据包传播路径，整个iptables 服务一共只有五条链，分别为INPUT链;OUTPU链;FORWARD; PREROUTING;

18、 POSTROUTING。每一条链中都可能包含有 一条或数条规则，而每一条链又将作为一个检查站，当一个数据包到达一个链时， iptables 则启动数据包过滤功能，根据该链中的规则逐条依照次序进行检查，如果 有找到与规则匹配条件，则按照规则预先定义的处理方式进行数据包处理，若当链中 的每一条规则都进行过了检查而又无法匹配数据包，则认为该数据包不符合条件，此 时则按照该链中预先定义的默认策略进行数据包的处理。2.3 表 vtables)iptables 内置filter 、nat和 mangle三个功能表，数据过滤表 filter 包含 INPUT FORWARDOUTPU三个链；网络地址转换表

19、 nat 包含 PREROUTINGOUTPUT POSTROUTING个链；数据处理表 mangle包含 PREROUTINGOUTPU两个链。图 2.3 iptables 结构Filter 表是iptables的核心，它的主要任务就是数据包过滤，由filter 表进入iptables系统的数据包根据路由表决定将数据包发送给哪一条链，之后数据包会与链中所包含的规则逐条进行匹配，根据检查的结果按照规则预先定义的方法进行处 理。(1如果数据包的目的地址为本机，系统则会将数据包发往INPUT链，如果能与链中的相应规则匹配，则可以进入下一步的处理过程，否则此数据包将被丢弃。（2如果数据包的目的地址不

20、是本机，系统将把它转发到FORWARDS，如果系统的转发功能已经启动，那么这个数据包将按照它所携带的相应接口信息被发往目的 地，但是如果系统尚未开启转发功能，此数据包将被丢弃。（3如果数据包是因为本机的进程所产生的，系统将会把该数据包送往OUTPUT链，如果它能与链中的相应规则匹配，那么这个数据包将按照它所携带的相应接口信 息被发往目的地，若未通过规则检查，该包将被系统丢弃。网络地址转换nat）就是通过特定的手段来改变进出系统的数据包的IP地址，包括改变源IP地址/端口地址或目的IP地址/端口地址，分为源地址转换 SNAT和目 的地址转换DNAT利用NAT技术可以把内部局域网的私有地址映射为外

21、部因特网的 真实IP地址，有效缓解了 IP地址紧缺问题，还能屏蔽内部网络结构，实现IP伪装，有效的提高了网络的安全性。Mangle表的主要作用是可以实现路由前对数据报文的报头修改，或者给数据报 文附上一些数据，供其他软件识别做进一步的处理。3 iptables 传输包过程流入的数据包流出的数据包PREROUTING转 发 S POSTROUTING图3.1 iptables传输过程如图所示：数据包进入系统时，首先进入PREROUTIN链，内核根据数据包目的IP判断数据包的下一步操作；如果数据包是发给本机的，则进入 INPUT链，此时任 何进程都会收到它。而本机运行的程序发送的数据包会经过out

22、puts，然后到达postroutins输出；如果数据包的目的地址不是本机而需要转发，则系统必须开启有转发功能，此时数据包将沿着 FORWARD到达POSTROUTING输出。无论数据包在到达的哪个链，iptables 都会根据链中定义的规则来处理数据包。iptables 将数据包的包头信息与到达的相应链规则进行比较，若数据包与某条 规则完全匹配，则按照规则预先定义的方法处理该数据包；如果该包不符合链中任何 一条规则，那么iptables将根据预先定义的默认策略来决定如何处理该数据包。4 Iptables 基本命令格式Iptables的命令格式较为复杂，一般格式为：Iptables -t表-命

23、令匹配操作命令中包含了 iptables所在的工作表；表中的哪一条链；对链进行何种操作插入、添加、删除、修改）；对所设定的规则进行何种目标动作以及对于规则该使用的 相关匹配条件，以下的三个表中介绍了一些常用的选项：表41命令选项命令说明-A在列表的最后增加1条规则-I在指定的位置插入1条规则-D从规则列表中删除1条规则-R替换规则列表中的某条规则-L查看iptables 规则列表-F删除表中的所有规则表4 2 匹配选项匹配说明-p指定数据匹配的协议，如 tcp，udp，icmp等-i数据包输入网络接口-o数据包输岀网络接口-s数据包源地址-d数据包目标地址-sport数据包源端口号-dport

24、数据包目标端口号表4 3动作选项动作说明ACCEPT接受数据包DROP丢弃数据包SNAT源地址转换DNAT目标地址转换MASQUERADEIP伪装LOG日志功能5校园网络的构建随着In ternet的普及，学校的教案与管理对网络的依赖性越来越强，校园网络 环境的安全问题被越来越多的学校和教育机构所重视。如何创建安全、高效的校园网 络成为了一个难题。限于教育资金的紧缺，对于网络这一块的投入相对较少，所以对于安全设备的选取面相对就窄了，专业的安全设备价格昂贵，这是一些学校难以承受之重。此时 Linux 平台下的 iptables 以其安全、高效、开源、免费等特点，成为了 校园网络安全建设中的首选方

25、案。5.1 制定校园网张的安全策略 要组建一个既经济又安全高效的校园网络，就必须从设计之初开始着手调查，摸 清这个项目的网络需求，需要的安全等级。在设定防火墙之前，根据校园网络的安全 需求，预先拟定一份合适的安全策略，其所需要的事先准备工作为： 了解网络的拓扑构想与服务器所需要摆放的位置； 整理出所需要保护的服务器的相关资料； 评估网络的整体所要求的保护等级； 根据以上事先了解的数据资料，可以制定一份安全策略： 校园网络的安全需求不高，服务器与工作站可以摆放在同一网段上，不需要采 用防火墙缓冲区设计，简化网络拓扑，节约成本； 校园网络规模较小，校园内网使用 NAT虚拟网络，IP地址只需要一组，

26、所有IP都通过IP伪装，通过NAT服务共享上网； 在没有特别配置的时候，所有的工作站自由使用网络资源，不限制只能访问网页，服务器提供 WEB FTP、EMAIL DNS服务，用以满足校园的日常需要，不提供proxy 及其它网络服务； 为了增加校园网络的安全性，其过滤规则采用正面表列方式进行封包过滤定义想放行的封包，其它的包一律阻挡）网络的安全策略可以根据需要随时增加，总之校园网络所需要防范的网络安全风 险很多，制定策略的人员也不可能一一都能洞察到，只能大体上设定一个最初的安全 要求，在日后的维护中，可以弹性的增删，一切只为了能给校园一个高效安全的、符 合校园需求的网络环境。5.2校园网络拓扑I

27、ntern&t202 ethO图5.2校园网络拓扑如图所示，校园网络中有几个比较重要的服务，如WEB FTP EMAIL等，要构建一个实用的校园网络，这些服务是必不可少的。Linux系统上用APACHE!行 WE曲艮务，使用的服务端口为80，所采用的是tcp或者udp协议。因为FTP有命令通道和 数据通道的区别，所以FTP服务需要两个端口来支持，其中的数据端口为20，命令端口为21，而FTP服务又有主动服务和消极服务两种模式，为了提高网络的安全 性，在此我们选择消极服务模式。EMAIL服务包含SMTP和 POP3两种协议，在此我们 仅对SMTP协议的安全性问题进行分析，其端口号为21。

28、对于这些特定的服务，我们既要保证能够让师生正常的访问，同时我们还要能做到防止非法入侵，禁止一切未经 允许的数据包进入校园网络，影响网络安全。6 iptables在校园网中的应用6.1关闭系统防火墙在安装Linux过程中，多数用户都开启了系统防火墙，因为系统防火墙功能也依 托iptables 来实现，因此用户在配置iptables 的同时，规则可能与系统防火墙冲 突。所以在使用iptables配置之前，必须先关闭系统防火墙。方法：执行“setup ”命令启动文字模式配置实用程序，在出现在界面上的选项 中选择“ Firewallconfiguration ”，此时进入防火墙配置页面，选中“ No

29、firewall ”选项，按“ ok”，则完成对系统防火墙的关闭，之后可以开始配置用户自定义的iptables 防火墙。6.2 启动 iptables先确认iptables是否安装，使用命令：#rpm -qa|grep iptables启动命令：#service iptables start为了使开机时能自动运行 iptables，可以在终端机窗口中输入“ ntsysv ”指令 然后在出现的画面中，利用上下方向键将光标移到菜单中的“iptables ”项目 同时确定ipchains选项没有被选中），然后按空格键以选择，最后利用 Tab键将光标移 到“确定”选项完成设置，如图：图6.2.1 开启

30、iptables 服务6.3网卡的配置在Linux主机上安装两块网卡，要求能被系统识别。网卡1为ethO，用来连接外网，网卡2为eth1，用以连接内部网络。配置eth0设定网卡1的IP地址为 ，子网掩码为 ，是其在in ternet上所分配到的合法IP地址，连接外部网络。为了能让网卡设置能永久保存，需要修改它的相关配置文件/etc/sysc on fig/network-scripts/ifcfg-eth0 ，内容为：DEVICE=eth0 # 网卡设备名BOOTPROTO=static #IP 地址为静态指定BROADCAST=55 #网卡的广播地址ONBOOT=y

31、es#TYPE=Ethernet# 网卡的 IP 地址# 网卡的子网掩码# 网卡的网络地址 系统启动时激活该网卡 网卡类型为以太网配置 eth1设定网卡 2 的 IP 地址为 ，子网掩码为 ，修改它的相 关配置文件 /etc/sysconfig/network-scripts/ifcfg-eth1 ，内容为：DEVICE=eth1BOOOTPROTO=staticONBOOT=yesTYPE=Ethernet 重启网卡则设置生效。6.4 NAT服务器配置，实现校园网络共享上网网络上的合法 IP 地址是有限资源，无法为内部网络的每一台主机都配置

32、正式地址，这里通过iptables的NAT功能，将私有地址转换为外部合法的IP 地址 0 ，用以实现整个网络的共享上网。编写脚本：#echo 1> /proc/sys/net/ipv4/ip_forward #打开内核转发功能#iptables -F # 清空默认规则#iptables -Z # 复位数据包计数器允许到内#iptables -P FORWARD DROP #不允许未指定的数据转发#iptables -A FORWARD -i eth0 -dst -j ACCEPT #部网络的主机的转发#iptables -A POSTROUTING -t nat

33、 -s -j SNAT -o eth0 - -to-source 0 # 将内部网络地址转换成 #iptables - A FORWARD I ethl - o ethO - s /24- d 0/0- jACCEPT #允许从局域网转发的所有包此时所有主机都将以 0 这个 IP 地址对外访问。这实现了共享上 网，也实现了 IP 伪装，有效的隐藏了内部网络拓扑，提高了网络的安全。6.5 iptables软件防火墙设置#iptables -F#清空所有规则#iptables -P INPUT DROP#iptables -

34、P OUTPUT DROP#iptables -P FORWARD DROP#定义默认规则，禁止所有 IP 传输#iptables -A INPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables - A OUTPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables -A FORWARD - m- state - stateESTABLISHED,RELATED -j ACCEPT#iptables -t -nat -A PREROUTING -m - state -

35、state ESTABLISHED,RELATED -j ACCEPT#iptables -t -nat -A POSTROUTING -m - state-stateESTABLISHED,RELATED -j ACCEPT#建立状态数据包检查功能#防止 IP 欺骗#iptables -A INPUT -ilo -j ACCEPT#iptables - A OUTPUT -olo -j ACCEPT#启用回环接口， IP 数据报可以在 eth0 与 eth1 之间传输。#从内部网发出的数据能被 eth1 接口接受#从 eth1 接口向 网络输出数据是允许的#iptables -A FORWA

36、RD -i eth0 -dst -j ACCEPT #允许到内部网络的主机的转发#iptables -t nat -A POSTROUTING -s -j SNAT -o eth0 - to-source #将内部网络地址转换成 #iptables - A FORWARD i ethl - o ethO - s /24- d 0/0- jACCEPT #允许从局域网转发的所有包#iptables -A INPUT- f -i eth0 -j DROP#禁止所有分片包，防止分片包攻击WW服务器的ip地址为,服务端口为80,采用tcp或udp协议。允 许

37、目的地址为内部网络 WW服务器的包通过iptables防火墙：#iptables - t nat - A PREROUTINGp tcp - s 0/0-d0-dport 80- j DNAT - to - dst - j ACCEPT#iptables - t nat - A PREROUTINGp udp - s 0/0-d0-dport 80- j DNAT - to - dst - j ACCEPT要允许远程SSH访问，定义以下规则：#iptables -A INPUT -p tcp -dp

38、ort 22 -j ACCEPT#iptables -A OUTPUT -p udp -sport 22 -j ACCEPTFTP服务器的ip地址为,服务端口为20和21，允许目的地址为内 部网 ftp 服务器的包通过 iptables 防火墙；。#iptables - t nat - A PREROUTINGp tcp - s 0/0-d0-dport 20- j DNAT - to - dst - j ACCEPT#iptables - t nat - A PREROUTINGp tcp - s 0/0-d202.103

39、.221.50-dport 21- j DNAT - to - dst - j ACCEPTEMAIL服务smtp服务器的ip地址为,服务端口为25,仅允许目的 地址为内部网络 smtp 服务器的数据包通过 iptables ：#iptables - t nat - A PREROUTING p tcp - s 0/0- d 0-dport 25- j DNAT - to - dst - j ACCEPTDNS!艮务器的ip地址为,服务端口为53,仅允许目的地址为内部网DNS艮务器

40、的包通过iptables防火墙;#iptables - t nat -A PREROUTING- p udp - s 0/0- d 0 -dport 53 - j DNAT - to - dst - j ACCEPT禁止特洛伊木马会扫描端口 31337#iptables -A OUTPUT -o eth0 -p tcp -dport 31337 -sport 31337 -j DROP#iptables -A FORWARD-o eth0 -p tcp -dport31337 -sport 31337 -jDROP通过上面的简单配置，一个小型的校

41、园网络防火墙就完成了，之前所建立的规则 都会被保存到内核中，但是当系统重启时，这些规则将会全部丢失。我们在希望系统 每次重新引导后都能使用这些规则，使用命令 iptables-save 可以达到目的：#iptables-save> iptablesboot此时信息包过滤表中的规则被保存于文件iptablesboot中，如需在系统重新启动后使用该规则集，运行命令：#iptables restore iptables script还有一种方法则是为了更方便用户，专门建立了一个存放 iptables 的文件，即/etc/sysconfig/iptables, 用户只需要在配置完成后运行命令：#

42、iptables-save> /etc/sysconfig/iptables 在每次系统重启或者 iptables 服务重启时，用户的规则集都将被系统读取到。7 服务器的维护要想让一台服务器高效永久的提供服务，做好日常的维护工作是必不可少的，当 然首先要做好的是重要数据的备份，如 iptables 规则的相关脚本备份，将规则文件 保存到当前用户目录下： iptables-save > /etc/sysconfig/iptables，相关的命令也必须以文本的形式保存，以便能在服务器崩溃之时迅速的完成相关规则的恢复。除 了软件方面的维护之外，硬件的设备也需要定时检查，看是否有设备出现异

43、常，放置 服务器的环境要求很高，环境、设备、人员等综合因素决定了服务器是否能够长时间 无故障的保持服务。这对于学校的管理人员来说，这将是其工作的重点。8 与其它防火墙的比较iptables 配置的防火墙是基于状态的，防火墙可以从信息包的连接跟踪状态获 得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。它使用户可以完全控制防火墙配置和信息包过滤。人们可以按自己的应用需 求来配置自己的规则，从而只允许自己想要的网络流量进入系统。另外， iptables 是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解 决方案。9 结束语一个好的网络环境，离不开防火墙的支持，而 Linux 系统下 iptables 构建的防 火墙，以其经济、高效与免费等特点，受到了越来越多用户的青睐，防火墙不一定最