15、SUSE Linux Enterprise Server 10 安全：iptables 与网络地址转换详解

SUSE Linux Enterprise Server 10 安全：iptables 与网络地址转换详解

1. 熟悉基本 iptables 语法

有一个练习旨在让你熟悉 iptables 语法，并展示一些 iptables 规则的效果，你可以在练习册中找到这个练习。

2. 理解 iptables 高级特性

在定义简单的静态数据包过滤器时，之前提到的语法是足够的。不过，netfilter 框架还有更多特性和选项，主要包括匹配和目标以及用户自定义链。

2.1 匹配和目标

匹配和目标扩展了 iptables 的功能，主要涉及以下几种类型：
-状态匹配（State Match）：能将 Linux 计算机转变为有状态的数据包过滤器，它理解以下参数：
-NEW：指尚未存在的连接的第一个数据包。在 TCP 中通常是带有 syn 标志的数据包，但并非绝对，它只是连接跟踪模块看到的第一个数据包。
-ESTABLISHED：表示连接的第二个及后续所有数据包。
-RELATED：涵盖与现有连接相关的连接，如 FTP 控制连接的数据连接或与现有连接相关的 ICMP 消息。
-INVALID：用于描述与已知连接无关的数据包。

这个模块不仅支持有状态过滤，还能简化设置规则的脚本。例如允许 eth0 上的 ssh 流量通过路由器并从 eth1 流出的规则如下：

<