2 小时玩转 iptables 讲义企业版 v1.5.4（已添加 PPT 格式）

platinum

这是我为上次讲义做的 PPT，比原来的有所改进，修正了一些 bug，添加了一些 FAQ

此讲义很适合 iptables 的初学者，使大家更清楚的了解 iptables 的语法，以及各个表各个链的用法

该沙龙地址：
http://www.chinaunix.net/topics/salon/9/2006-03-21/14.shtml

录音地址：
2 小时玩转 iptables(一): iptables1.MP3 (1.8M)
2 小时玩转 iptables(二): iptables2.MP3 (7.7M)
2 小时玩转 iptables(三): iptables3.MP3 (16.5M)


其它相关链接（重磅推荐）：

《iptables 高级使用研讨》http://linux.chinaunix.net/bbs/thread-1168929-1-1.html
讲座视频：http://v.zz.ku6.com/play.php?vid=JTNNaAM8YSTP6RGJ

1. 
   
2. 
   
3. 
   
4. ChangeLog
   
5. 
   
6. 1.4.1
   
7.         修正了关于 -p --dport 后面加了 s 的 BUG
   
8. 
   
9. 1.4.2
   
10.         修正了关于 multiport 后面加了 s 的 BUG
    
11.         修正了描述 22,80 端口时未加 --dports 的 BUG
    
12. 
    
13. 1.5.0
    
14.         添加了两个实战的参考答案
    
15.         添加了使用总则
    
16.         文档更名为“2 小时玩转 iptables 企业版”
    
17.         欢迎 陈绪(bjchenxu) 先生加入了文档维护工作
    
18. 
    
19. 1.5.1
    
20.         修正了实战中没有针对 INPUT 链进行状态筛选允许的 BUG
    
21. 
    
22. 1.5.2
    
23.         修正了第 29 页中 DROP 后面加了 s 的 BUG
    
24.         修正了同页中 mac 模块 -m 后面忘写 mac 的 BUG
    
25. 
    
26. 1.5.3
    
27.         修正了试验二的网络拓扑图中防火墙 eth0 与 eth1 标反的 BUG
    
28. 
    
29. 1.5.4
    
30.         修正了第 19 页中称 --dport 为“源端口”的描述错误
    
31.         修正了第 20 页中把“端口”描述为“地址”的错误
    

复制代码

platinum

这是集成了 iprange、l7-filter、time、geoip 等功能的，用于做试验和练习用的 Linux
如果没有网络环境的朋友，用 VMWARE 就可以来练习和测试了

注意：此 ISO 仅限于在 VMWARE 中运行

登录用户：CU（大写）
登录密码：空（没密码）


特别感谢 quicksand 将 ISO 与模拟环境集成！

[ 本帖最后由 platinum 于 2006-4-13 00:44 编辑 ]

platinum

原帖由 xy-coordinate 于 2006-4-10 08:37 发表
请问：LZ的ISO是如何制作的？？？

我很想了解一下！

用 busybox + isolinux 里面的 mkisofs

platinum

原帖由 wendesign 于 2006-5-15 11:38 发表
请问RAR是不是少了一节？

何以见得？

platinum

其实不是我放的，是 FQ 老大放的，我只是把 URL 抄了过来 ^_^

platinum

原帖由 s7ck4 于 2006-5-18 09:11 发表
斑竹，你的图里，看起来容易产生误解

不妨说一下哪里容易产生误解？如果需要改进的请提出来

platinum

原帖由 s7ck4 于 2006-5-18 13:04 发表
个人意见啊，不一定合适

我感觉应该把次序写的详细点，比如斑竹可能考虑页面显示的问题把有些东西放在一起写，比如mangle 和nat的PREROUTING
------------------------------------------------------------- ...

首先谢谢 s7ck4 对 PPT 的关注
严格意义上来说，你的想法是对的，但由于篇幅问题，因此利用了“加法结合律”，都放在 PREROUTING 链里了，只不过根据顺序，将 mangle 放到了 nat 上面，因此看上去是

1. 
   
2. PREROUTING --〉Routing-->...
   
3. mangle
   
4. nat
   

复制代码

我感觉不应该产生误解吧？mangle 在 nat 的上面呢

platinum

原帖由 youngsung 于 2006-8-5 18:38 发表
感谢楼主，这个做的太戏了，给俺们这些小鸟们很好的理论支持，我全文有一句话理解的不是很透彻，可否详细的解释一下，小弟在这里谢了
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
这句话 ...

文中有详细的针对 state 模块的解释，不知道你看过没有？

platinum

针对一个已进入的数据包的回包，就是 ESTABLISHED 状态
针对一个特殊协议的派生数据传输，就是 RELATED 状态，比如 icmp 协议的 type 0 code 0，以及 FTP 的 data channel
RELATED 需要网络协议栈的支持才可以

platinum

多谢 zdm 的指正，文档已更新 ^_^