下载文档原格式
手把手教你搭建个人网络防火墙随着互联网的普及和数字化时代的到来,我们的生活越来越离不开网络。
然而,与此同时,网络安全问题也日益突出。
个人隐私泄露、黑客攻击、病毒感染等问题时有发生。
为了保护个人隐私和数据安全,搭建一个个人网络防火墙是非常重要的。
本文将手把手教你搭建个人网络防火墙,确保你的网络安全。
第一步:选择合适的硬件设备和操作系统在搭建个人网络防火墙前,首先需要选择合适的硬件设备和操作系统。
一个稳定的硬件设备以及安全性较高的操作系统是搭建网络防火墙的基础。
目前市面上有很多适用于个人网络防火墙的硬件设备和操作系统,如防火墙硬件设备、Linux系统等。
根据自身需求和实际情况选择合适的硬件设备和操作系统。
第二步:设置网络防火墙的基本配置选择好了硬件设备和操作系统后,接下来需要设置网络防火墙的基本配置。
首先是设置防火墙的IP地址和子网掩码,确保与本地网络的IP地址不冲突。
然后设置防火墙的网关,将其与本地网络连接起来。
接着设置DNS服务器,用于解析域名。
最后设置默认规则,允许或拒绝特定的网络连接。
第三步:配置访问控制规则和安全策略搭建好基本配置后,需要配置访问控制规则和安全策略。
根据个人需求和实际情况,设置特定的访问控制规则,允许或拒绝特定的IP 地址或端口进行访问。
同时,设定合理的安全策略,例如防止恶意软件下载、限制外部访问等,以加强网络安全性。
第四步:更新和升级防火墙软件网络安全威胁不断演变和升级,因此,及时更新和升级防火墙软件是必要的。
定期检查防火墙软件的更新和升级信息,并按照厂商提供的指引进行操作。
保持防火墙软件的最新版本,可以及时防范新的网络威胁。
第五步:监控和审计网络活动搭建好个人网络防火墙后,需要对网络活动进行监控和审计。
通过监控网络活动,可以及时发现异常和可疑行为,并采取相应的安全措施。
审计网络活动可以帮助分析和识别潜在的安全风险,并及时加以解决。
总结:个人网络防火墙的搭建是确保个人网络安全的重要措施之一。
linux防火墙规则路径Linux防火墙规则路径一、概述Linux防火墙是保护计算机网络安全的重要组成部分,它可以通过配置防火墙规则来限制网络流量的进出,从而提高网络的安全性。
本文将介绍Linux防火墙规则的路径以及相关的配置方法。
二、防火墙规则路径Linux防火墙规则的路径通常位于/etc目录下的iptables或firewalld文件夹中,具体取决于使用的防火墙工具。
1. iptables工具Iptables是Linux上最常用的防火墙工具之一,其规则路径为/etc/sysconfig/iptables。
在该文件中,可以配置入站和出站规则,以及网络地址转换(NAT)规则等。
可以使用文本编辑器(如vi或nano)打开该文件进行配置。
2. firewalld工具Firewalld是CentOS 7及以上版本中默认的防火墙管理工具,其规则路径为/etc/firewalld。
在该文件夹中,有多个配置文件,如zones和services等。
zones文件夹中存放了不同区域(zone)的防火墙规则,而services文件夹中存放了各个服务的规则。
可以使用firewall-cmd命令或文本编辑器修改这些配置文件。
三、防火墙规则配置方法Linux防火墙规则的配置方法取决于所使用的防火墙工具。
1. iptables工具配置方法要配置iptables工具的防火墙规则,可以按照以下步骤进行操作:a. 打开终端窗口,使用root用户登录。
b. 进入/etc/sysconfig/iptables目录。
c. 使用文本编辑器打开iptables文件。
d. 在文件中添加所需的规则,如设置允许或禁止特定端口或IP地址等。
e. 保存文件并退出编辑器。
f. 重启iptables服务使配置生效。
2. firewalld工具配置方法要配置firewalld工具的防火墙规则,可以按照以下步骤进行操作:a. 打开终端窗口,使用root用户登录。
Linux命令高级技巧使用iptables和ipset进行高级网络防火墙配置在网络安全领域,配置高级网络防火墙是至关重要的。
Linux操作系统提供了一些强大的工具来实现这一目的,其中最常用的是iptables和ipset。
本文将介绍如何使用这两个工具来进行高级网络防火墙配置。
一、iptables简介iptables是一个功能强大的Linux防火墙工具,它允许管理员配置、管理和维护网络安全规则集。
iptables使用内核的netfilter框架来实现数据包过滤和转发。
它可以根据网络协议、源IP地址、目标IP地址、端口号等多个条件来过滤和控制数据包的流动。
下面是一些常用的iptables命令及其功能:1. iptables -A chain -p protocol --source address --destination address --dport port -j action:添加规则到指定链,根据指定条件决定数据包的操作(动作)。
2. iptables -D chain rule-number:从指定链中删除指定规则。
3. iptables -L:列出当前的防火墙规则集。
4. iptables -F chain:清空指定链中的所有规则。
5. iptables -P chain target:设置指定链的默认策略。
二、ipset简介ipset是一个用于管理大规模IP地址和端口的工具,它可以与iptables一起使用,提高防火墙规则的效率和性能。
ipset通过将IP地址和端口号存储在内存中的数据结构中,可以更快地匹配和过滤数据包。
ipset的一些常用命令如下:1. ipset create setname type:创建一个新的ipset。
2. ipset add setname entry:将条目添加到指定的ipset中。
3. ipset del setname entry:从指定的ipset中删除条目。
Linux防火墙配置SNAT教程防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
这篇文章主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下1、实验目标以实验“防火墙配置-访问外网WEB”为基础,在WEB服务器上安装Wireshark,设置Wireshark的过滤条件为捕获HTTP报文,在Wireshark中开启捕获,在内网测试机上访问WEB服务器,查看捕获结果,再在网关防火墙上设置SNAT,查看捕获结果(防火墙配置-访问外网WEB:linux防火墙配置教程之访问外网web实验(3) )2、SNAT(source network address translation)源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称IP地址欺骗或伪装内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部,同时可以保护内网安全3、实验拓扑4、实验步骤(1)完成“防火墙配置-访问外网WEB”实验(2)在WEB服务器上安装Wireshark1)配置本地Yum源(CentOS 6.5配置本地Yum源教程)2)安装Wireshark复制代码代码如下:[root@lyy yum.repos.d]# yum install wireshark wireshark-gnome -y //gnome表示桌面版3)打开Wireshark安装完成之后,点击“应用程序”——“Internet”——“Wireshark”即可打开(3)设置Wireshark的过滤条件为捕获HTTP报文点击“Capture”——“Option”——在弹出的窗口中勾选“eht0”双击“eth0”——在弹出的窗口中点击“Capture Filter”——点击“HTTP TCP port(80)”——确定(4)在内网测试机上访问WEB服务器此时看到的源地址是内网测试机的地址192.168.0.10(5)在网关防火墙上设置SNAT复制代码代码如下:[root@lyy 桌面]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE复制代码代码如下:MASQUERADE:动态地址伪装,用发送数据的网卡上的IP来替换源IP(6)内网测试机上访问WEB服务器,捕获结果如下:此时,源地址已经被替换成了网关的eth1的IP地址,SNAT的目的已经达到!补充阅读:防火墙主要使用技巧一、所有的防火墙文件规则必须更改。
Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置Linux命令高级技巧:使用iptables和ufw命令进行网络防火墙配置在Linux操作系统中,网络防火墙是保护系统网络安全的重要组成部分。
通过合理配置网络防火墙规则,可以控制网络流量的进出,阻挡恶意攻击和未经授权的访问,确保系统的安全性。
本文将介绍Linux 中的两个重要命令iptables和ufw,以及使用它们进行网络防火墙配置的高级技巧。
一、iptables命令iptables是Linux中主要的防火墙工具,可以在内核级别对进出的网络流量进行过滤、转发和NAT(Network Address Translation)等操作。
下面是一些常用的iptables命令及其用法:1. 启用IP转发功能在做网络防火墙配置之前,需要确保系统开启了IP转发功能。
可以使用以下命令启用:```shellsysctl -w net.ipv4.ip_forward=1```此命令将系统的`net.ipv4.ip_forward`参数设置为1,即开启IP转发功能。
2. 基本规则设置使用以下命令创建一条基本的防火墙规则,允许本地主机的所有传入和传出流量:```shelliptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT```这些命令将INPUT、OUTPUT和FORWARD链的默认策略都设置为ACCEPT,即允许全部流量。
3. 添加规则可以使用iptables命令添加特定的防火墙规则,以允许或拒绝特定的流量。
例如,以下命令将允许来自192.168.1.100的主机的SSH连接:```shelliptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT```此命令将在INPUT链中添加一条规则,允许源IP为192.168.1.100,目标端口为22的TCP连接。
linux iptables 防火墙添加规则《Linux iptables 防火墙添加规则》在Linux系统中,iptables是一种用于管理包过滤规则和网络地址转换的工具,也就是说,它是一个用于管理防火墙的工具。
通过iptables,用户可以对传入和传出的网络数据包进行过滤、转发、放行等操作,从而保护系统的安全性。
要添加iptables防火墙规则,首先需要了解一些基本概念。
规则由一系列规则链和规则组成,每个规则链对应于一个特定的包处理阶段,比如INPUT(入站数据包)、FORWARD(转发数据包)、OUTPUT(出站数据包)等。
而规则则定义了针对每个规则链的具体动作,比如允许、拒绝、转发等。
要添加规则,可以使用iptables命令,语法为:```iptables -A <chain> -p <protocol> --dport <port> -j <action>```具体来说,-A表示添加规则,<chain>表示规则链的名称,-p表示协议类型,--dport表示目标端口,-j表示动作。
比如,可以使用以下命令添加一条允许HTTP流量的规则:```iptables -A INPUT -p tcp --dport 80 -j ACCEPT```此外,还可以使用其他选项来指定IP地址、子网、MAC地址等,定制更精细的规则。
在添加规则之后,需要保存规则,以便系统重启后依然有效。
可以使用以下命令来保存规则:```iptables-save > /etc/iptables.rules```总的来说,通过学习iptables的基本概念和语法,用户可以灵活地配置防火墙规则,从而保护系统的安全。
毋庸置疑,良好的防火墙规则可以有效地提高系统的安全性,减少潜在的攻击风险。
命令行建立防火墙规则建立防火墙规则是保护网络安全的重要措施之一。
通过设置防火墙规则,可以限制网络流量,筛选不安全的数据包,从而保护网络免受恶意攻击和未经授权的访问。
防火墙规则可以根据不同的需求来设置,可以限制特定的IP地址或IP地址范围的访问,也可以限制特定的端口号或端口范围的访问。
此外,还可以根据协议类型、应用程序或用户身份等进行规则设置。
为了建立防火墙规则,我们可以使用命令行工具来进行操作。
下面是一个示例,展示了如何使用命令行建立一条简单的防火墙规则:1. 首先,打开命令行终端。
2. 输入以下命令以创建一条允许特定IP地址访问的规则:```shelliptables -A INPUT -s 192.168.0.1 -j ACCEPT```上述命令中,`192.168.0.1`是要允许访问的IP地址。
`-A INPUT`表示将规则添加到输入链中,`-j ACCEPT`表示接受该IP地址的访问请求。
3. 输入以下命令以创建一条拒绝特定IP地址访问的规则:```shelliptables -A INPUT -s 192.168.0.2 -j DROP```上述命令中,`192.168.0.2`是要拒绝访问的IP地址。
`-A INPUT`表示将规则添加到输入链中,`-j DROP`表示丢弃该IP地址的访问请求。
4. 输入以下命令以保存规则并使其生效:```shelliptables-save > /etc/iptables/rules.v4```上述命令将当前的防火墙规则保存到`/etc/iptables/rules.v4`文件中,以便在系统重启后自动加载。
通过以上步骤,我们成功建立了两条防火墙规则,用于限制特定IP 地址的访问。
当有请求进入时,防火墙将根据这些规则对请求进行筛选,只允许符合规则的请求通过,而拒绝其他请求。
当然,上述示例只是建立防火墙规则的一种方式,具体的规则设置还要根据实际需求来确定。
Linux防火墙的配置与管理为了保护校园网的安全,需要使用防火墙。
防火墙位于网络边界,用于保护局域网(LAN)内网和DMZ区,免受来自因特网(WAN)的攻击。
防火墙的工作实质是报文过滤。
一、项目简介(一)含有DMZ区的防火墙概述防火墙通常有三个接口(端口),分别是WAN、LAN和DMZ。
如图表3-1所示。
图3-1 防火墙拓扑结构图在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
含有DMZ的网络,包括六条访问控制策略。
1、内网可以访问外网内网的用户可以自由地访问外网。
因此防火墙需要进行源地址转换。
2、内网可以访问DMZ内网用户使用和管理DMZ中的服务器。
3、外网不能访问内网由于内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4、外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。
同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5、DMZ不能访问内网很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6、DMZ不能访问外网此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
(二)Linux防火墙简介Linux下的防火墙是iptables/netfilter。
iptables是一个用来指定netfilter规则和管理内核包过滤的工具,它为用户配置防火墙规则提供了方便。
与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换NAT等功能。
1、netfilter的组成netfilter主要包括三个表(table):filter、nat和mangle,分别用于实现报文过滤、网络地址转换和报文重构。
CIW课程之用LINUX AS构建和安装一个独立的防火墙防火墙架设前的知识点补充防火墙支持状态过滤。
状态主要有以下四种:NEW说明这个包是我们看到的第一个包。
意思就是,这是conntrack(内核包跟踪)模块看到的某个连接第一个包,它即将被匹配了。
比如,我们看到一个SYN 包,是我们所留意的连接的第一个包,如UDP包,就要匹配它ArrayESTABLISHED在两个方向上的数据传输。
即只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的。
ICMP的错误和重定向等信息包也被看作是ESTABLISHED,只要它们是我们所发出的信息的应答就认为是此状态。
RELATED是个比较麻烦的状态。
当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。
换句话说,一个连接要想是RELATED的,首先要有一个ESTABLISHED的连接。
这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是 RELATED的了,当然前提是conntrack模块要能理解RELATED。
ftp是个很好的例子,FTP-data 连接就是和FTP-control有关的一个RELATEDINVALID说明数据包不能被识别属于哪个连接或没有任何状态。
有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个连接的ICMP 错误信息。
一般地,我们DROP这个状态的任何东西。
本章所建立的防火墙是基于“禁止一切”的默认策略的。
按照默认的情况,所有的网络数据流都被禁止,服务作为策略的例外来单独启用。
对于单系统的家庭或是小型商业用户配置,假设大多用户都使用一个单独的计算机来连接Internet,或用单个防火墙来保护一个小型的专用的局域网。
之所以这样假设是因为这样的站点一般不会去花更多资金来扩展原有系统结构以构建更高级的防火墙。
“最小安全”并不是“不安全”,这种“最小保护”防火墙只是比拥有较多机器的更复杂的防火墙稍差一些。
安全性是一种可利用的资源与逐渐减少的回报之间的均衡。
如果要求更高的安全性,付出更多的投入,不一定能在效益上有相应倍数的提高。
日后我们会介绍更多的安全配置,以提供保护较为复杂的局域网的附加内部安全性,也提供比单系统防火墙更安全的服务器配置。
作为防火墙的管理程序,iptables为输入和输出规则链建立单独的数据包过滤规则以组成防火墙。
定义防火墙规则的一个重要方面就是规则的定义顺序。
数据包过滤规则以它们被定义的顺序存储在内核的输入、输出或转发规则链中。
单个规则被插入到链的开头或添加到链的结尾。
本章例子中的所有规则都是添加到链的结尾的本章所有过滤器的例子中使用的是数字服务端口号而不是它们的符号名称,如在/etc/services中列出的那样。
iptables支持符号化的服务端口名称,之所以不使用符号名称而使用数字是因为在Linux的不同版本中符号名称不太统一本章将会用到一个名为rc.firewall的脚本,这个脚本的位置依赖于Linux调用该脚本的方式而不同。
例如,在Red Hat,或SUSE系统中,此脚本位于/etc/rc.d目录;但在Debian 中,它位于/etc/init.d目录。
鉴于用到的shell语法可能不同,在例子中会用Bourne(sh)或Bourne Again(bash)shell的语法来编写。
脚本应该以“shebang”开头来调用shell作为脚本的解释程序。
脚本中的第一行如下:#!/bin/sh定制还是购买Linux内核最好不要在防火墙运行X Window,进一步说,最好不要安装。
因为一般这个软件没有太多用处,而且曾被用做攻击服务器的途径。
有人需要从成百上千英里以外的某地方控制一台Linux计算机,和他们一样,我也要从很远的地方启动防火墙脚本,在这种情况下,最好做两项准备:首先,将防火墙脚本开始的一个或几个执行动作的默认策略定为接受,这样做是为了调试脚本,而不是规则语法即是如此。
在脚本被调试正确后,再将策略改回为丢弃策略。
其次非常重要的一点是,在从远程执行防火墙脚本时,最好设置corn作业,使防火墙可以在不久后的某一时间停止下来。
这样可以有效地允许你启用防火墙并进行一些测试,并且,当存在错误设置的(或者丢失的)规则时,不至于将你锁在计算机外面而无法返回与计算机的连接。
临时客串知识点:Linux 技巧: 用cron 和at 调度作业系统管理员需要在系统负载低的午夜运行作业,或者需要每天或每月运行作业,同时又不愿意牺牲睡眠时间或假期。
调度任务的其他原因包括自动执行日常任务或者确保每次都以相同的方式处理任务。
本文帮助您使用cron和at功能调度作业定期运行或在指定的时间运行一次。
以一定的时间间隔运行作业以一定的时间间隔运行作业需要使用cron设施进行管理,它由crond守护进程和一组表(描述执行哪些操作和采用什么样的频率)组成。
这个守护进程每分钟唤醒一次,并通过检查crontab 判断需要做什么。
用户使用crontab命令管理crontab。
crond守护进程常常是在系统启动时由init 进程启动的。
为了简单,假设希望定期运行清单1 所示的命令。
这个命令实际上只报告日期和时间,其他什么事都不做,但是它可以说明如何使用crontab设置cron 作业,而且还可以通过输出看到作业运行的时间。
设置crontab 条目需要一个包含转义的shell 元字符的字符串,所以适合于简单的命令和参数。
在这个示例中,将从脚本/home/ian/mycrontab.sh 运行echo命令,这个脚本不需要参数。
这可以减少处理转义字符的工作。
创建crontab使用crontab命令和-e(表示“edit”)选项创建crontab。
这会打开vi编辑器,除非在EDITOR 或VISUAL 环境变量中指定了另一种编辑器。
每个crontab 条目包含六个字段:1. 分钟2. 小时3. 日4. 月5. 星期6. 由sh执行的字符串分钟和小时的范围分别是0-59 和0-12,日和月的范围分别是1-31 和1-12。
星期的范围是0-6,0 表示星期日。
星期也可以指定为sun、mon、tue 等等。
第6 个字段包含前5 个字段之后的所有内容,它是要传递给sh的字符串。
百分号(%)将转换为空行,所以如果要使用% 或其他任何特殊字符,就要在前面加上反斜线(\)。
第一个% 之前的一行传递给shell,这个% 之后的所有行都作为标准输入传递。
各个与时间相关的字段可以指定一个单独的值、值的范围(比如0-10 或sun-wed)或者以逗号分隔的单独值和范围列表。
清单2 给出一个crontab 条目示例。
在这个示例中,我们的命令在7 月的每个星期五和星期六晚上10 点到午夜之间的第0、20、40 分钟(每20 分钟)执行。
crontab 存储在哪里?用crontab 命令创建的crontab 存储在/etc/spool/cron 下面的一个子目录中,这个子目录与创建crontab 的用户同名,所以上面的crontab 存储在/etc/spool/cron/ian 中。
在指定的时间运行作业有时候,需要只运行作业一次而不是定期运行。
为此,应该使用at 命令。
要运行的命令是从-f 选项指定的文件读取的,-v 选项显示运行作业的时间例如:[ian@lyrebird ~]$ at -f mycrontest.sh 10pm tomorrowjob 14 at Sun Jul 8 22:00:00 2007[ian@lyrebird ~]$ at -f mycrontest.sh 2:00 tuesdayjob 15 at Tue Jul 10 02:00:00 2007[ian@lyrebird ~]$ at -f mycrontest.sh 2:00 july 11job 16 at Wed Jul 11 02:00:00 2007[ian@lyrebird ~]$ at -f mycrontest.sh 2:00 next weekjob 17 at Sat Jul 14 02:00:00 2007可以管理cron 和at 作业。
使用crontab 命令和-l 选项列出crontab,使用atq 命令显示用at 命令加入队列中的作业[ian@lyrebird ~]$ crontab -l0,20,40 22-23 * 7 fri-sat /home/ian/mycrontest.sh[ian@lyrebird ~]$ atq16 Wed Jul 11 02:00:00 2007 a ian17 Sat Jul 14 02:00:00 2007 a ian14 Sun Jul 8 22:00:00 2007 a ian15 Tue Jul 10 02:00:00 2007 a ian可以使用cron 命令和-r 选项删除所有调度的cron 作业[ian@lyrebird ~]$ crontab -l0,20,40 22-23 * 7 fri-sat /home/ian/mycrontest.sh[ian@lyrebird ~]$ crontab -r[ian@lyrebird ~]$ crontab -lno crontab for ian用atq 和atrm 显示并删除作业[ian@lyrebird ~]$ atq16 Wed Jul 11 02:00:00 2007 a ian17 Sat Jul 14 02:00:00 2007 a ian14 Sun Jul 8 22:00:00 2007 a ian15 Tue Jul 10 02:00:00 2007 a ian[ian@lyrebird ~]$ atrm 16 14 15[ian@lyrebird ~]$ atq17 Sat Jul 14 02:00:00 2007 a ian以上是关于作业调度的知识点补充。
如果有了以上的CRON我们就不会把自己锁在外面了。
例如,在调试防火墙脚本时,可以创建一个corn作业,每两分钟停止防火墙一次,这样可以安全地运行防火墙脚本并可以知道是否已锁定SSH会话。
如果已经锁定,只需要等待防火墙脚本再运行几分钟,等待防火墙自行关闭,然后就可以去修订脚本继续运行了。
本节课防火墙示例中使用的符号常量如果为经常使用的名字或地址定义了符号常量,防火墙的脚本就极易读懂和维护。
下面的常量或者是本章例子中用到的,或者是在网络标准中定义的通用常量。
在下面的例子中,也是以“shebang”行作为开头。
#!/bin/sh IPT="/sbin/iptables" # Location of iptables on your system INTERNET="ethO" # Internet-connected interface LOOPBACK_INTERFACE="1o" # however your system names it IPADDR="my.ip.address" # your IP address MY_ISP="my.isp.address.range" # ISP server & NOC address range SUBNET_BASE="work" # Your subnet's network address SUBNET_BROADCAST="my.subnet.bcast" # Your subnet's broadcast address LOOPBACK="127.0.O.O/8" # reserved loopback address range CLASS_A="IO.O.O.O/8" # class A private networks CLASS_B="172.16.O.O/12" # class B private networks CLASS_C="192.168.0.0/16" # class C private networks CLASS_D_MULTICAST="224.0.O.O/4" # class D multicast addresses CLASS_E_RESERVED_NET="240.0.O.O/5" # class E reserved addresses BROADCAST_SRC="O.O.O.O" # broadcast source address BROADCAST_DEST="255.255.255.255" # broadcast destination address PRIVPORTS="0:1023" # well-known, privileged port range UNPRIVPORTS="1024:65535" # unprivileged port range删除预先存在的规则定义一组过滤规则时,首先要做的事情就是从规则链中清除任何已经存在的规则。
