Linux防火牆

模塊介紹

該模塊允許您配置2.4系列Linux內核中的IPtables防火牆功能。與其他一些防火牆配置程序不同,它沒有創建用於設置防火牆的外殼腳本,而是分別以ipi(6)tables-restoreipi(6)tables-save讀取和寫入的格式讀取和編輯保存文件。

如果您的系統上已經有手動設置或通過腳本文件設置的防火牆,則該模塊將為您提供將其轉換為IPtables保存文件的功能,並創建一個在引導時運行的腳本以激活規則。文件。但是,如果執行此操作,則不應再編輯防火牆規則腳本,也應在啟動時將其禁用。

IPtables概述

系統會根據一個或多個鏈來檢查系統進入,傳出或轉發的每個網絡數據包,以確定將發生什麼情況。每個鏈包含零個或多個規則,每個規則都有一個條件(確定它匹配的數據包)和一個動作(控制那些匹配的數據包發生什麼)。每個鏈還具有一個默認操作,該操作控制不匹配任何規則的數據包所發生的情況。

每個鏈都是表的一部分,當前有三個:

除了每個表中的標準鏈之外,您還可以創建自己的鏈,這些鏈可以由內置鏈中的規則運行。這對於可能在多個地方使用的分組和共享規則很有用。

主頁面

該模塊的主頁列出了可用表之一的所有鍊和規則,這些表是從左上角的列表中選擇的。以下是當前表中每個鏈的部分,列出了每個鏈中的所有規則,並根據模塊的最佳功能描述了它們的條件。對於每個鏈,如果鍊是表的內置表之一,則可以使用下拉列表更改默認操作;如果是用戶定義的,則可以使用“刪除鏈”按鈕將其刪除。

您可以單擊鏈中的任何規則進行編輯,單擊每行右側的箭頭將其向上或向下移動,或單擊“添加規則”按鈕以添加一個新規則。添加或編輯規則將帶您進入一個頁面,您可以在該頁面上選擇每個規則的操作以及執行操作的條件。

頁面底部是一個按鈕,用於通過使用ipi(6)tables-restore命令將其加載到內核中來激活當前防火牆配置。在它的下方是一個用於執行相反操作的按鈕-獲取內核中當前的配置並使其可用於編輯。最後,如果您的發行版支持它,則有一個按鈕可以更改在啟動時是否激活防火牆。

過濾鏈

為了與外部iptables腳本更好地協作,您可以從防火牆的處理中排除單個鏈。為此,您必須在設置中選擇直接處理規則,然後輸入一個過濾器列表,該列表將從適當的鏈中排除。不會從編輯中排除的鏈條會標有“不受防火牆管理”消息。

IP集

較新版本的ip(6)table支持ipset擴展。 IP集是主內存中IP地址的列表,可以非常有效地搜索它們並將其用作規則中的條件。在主頁上,顯示規則可以使用的現有IP集。但是,目前尚無法在防火牆中進行管理。