Iptables和NAT服务在校园网中的应用及维护

1、毕 业 论 文（设计）论文（设计）题目：Iptables和NAT服务在校园网中的应用及维护系 别： 专 业： 学 号： 姓 名： 指导教师： 时 间： 毕 业 论 文（设 计） 开 题 报 告系别:计算机与信息科学系 专业:网络工程学 号姓 名黄锦欢论文（设计）题目Iptables和NAT服务在校园网中的应用及维护命题来源教师命题 学生自主命题 教师课题选题意义(不少于300字):本课题的目的是研究Iptables和NAT服务在校园网中的应用及维护。随着宽带网络的蓬勃发展和普及，互联网已经在社会各个领域得到了广泛的应用，特别是网络进入校园之后，丰富了全体师生的的工作、学习和生活。然而我们在享受

2、Internet 带来的便利的同时，往往把网络的安全问题抛之脑后，为了增加校园网络的安全，保障校园网的稳定运行，需要将内部网与Internet相隔离，防火墙是必不可少的防御机制，而专业的防火墙产品，一般的学校限于财力、技术实力往往不易采用。此时，Linux系统中强大的Iptables和NAT服务为我们提供了很好的校园网安全解决方案，利用Iptables服务器建立相应的规则，实现对数据包的过滤，利用NAT服务器，实现共享上网、隐藏内部网络，两者相结合，形成了一个具有综合功能的免费软件防火墙，进一步提高校园网的网络安全。因此，研究探索Iptables和NAT服务在校园网中的应用与维护，对于校园网的

3、安全与稳定有着十分重要的意义。研究综述(前人的研究现状及进展情况，不少于600字):1、Iptables与NAT服务的发展过程Iptables并不是Linux中最早出现的防火墙软件，它的前身是ipchains，ipchains随Linux 2.2.x内核一起发行，发展到Linux 2.4.x内核后，ipchains逐渐被功能强大的iptables取代了。与以前的ipchains比，iptables最大的优点是它可以配置有状态的防火墙，即iptables会检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记（SYN、ACK、FIN、RST等）的状态，这是i

4、pchains和ipfwadm等以前的工具都无法提供的重要功能。Iptables全跟踪整个连接会话，从而使整个过滤过程相互关联，这可以提高信息包过滤的效率和速度。NAT则大多使用于路由器当中，随着Linux内核的不断完善，NAT也能依托强大的iptables实现服务。2、现阶段Iptables与NAT服务在校园网中应用还不广泛中国互联网起步较晚，可是在经过十多年的发展后，校园互联网络已经基本普及，面对着浩瀚的网络世界，有新奇，也有风险。木马、病毒、恶意攻击，都会影响人们的正常工作、学习。通过调查显示，还有较大一部分的校园网络并未采取有效的安全策略。而iptables与NAT服务则用于Linux

5、平台，对于国内普通用户而言，这本身就是一大防碍。，国外的Linux用户较多，技术更新也较快，对于iptables与NAT服务在网络中的应用与维护的研究开展得早，技术也相对成熟。国内对这方面的研究相对较少，很多文献都没有中文的版本，这也给研究者带来相当大的难度。当然，一些中小型企业也在研究并利用iptables与NAT服务构架出了适合自己的安全机制。而由于各个学校网络结构、网络安全需求、服务需求的差异，使得iptables与NAT服务在校园网应用过程中必须按各自的实际需求配置，这也丰富了课题研究和探索。3、未来Iptables与NAT服务在校园网中的发展人们对于网络的认识在逐步加深，对网络的安全

6、要求也越来越高，而Linux下的iptables与NAT服务依靠其强大的防火墙功能，加上其完全免费的优势，势必得到更多人的亲睐，对于iptables与NAT服务在校园网中的应用与维护的研究，必将迎来一次机遇。研究的目标和主要内容（不少于400字）本课题采用Linux内核的iptables和NAT服务，依据校园网络的结构、安全策略、服务需求，合理制定规则配置iptables服务器与NAT服务器，并为之提供维护方案，保障学校网络安全的、稳定的提供服务。本选题研究内容如下：1、Iptables服务器和NAT服务器的基本知识。了解iptables的规则、链、表各自的含义与iptables传输数据包的过

7、程，iptables的命令格式和使用方法。了解NAT的含义，及其工作原理，工作方式，实现方法。2、制订校园网络安全策略。此前必须找出需要过滤保护的服务器，条列出服务器将提供何种网络服务，一般工作站需要何种等级保护，了解网络架构与服务器摆放位置。3、根据校园的安全策略，对iptables服务器与NAT服务器进行配置。进行规则的编写，并记录下所用的命令，以便日后维护。4、调试服务器，看服务器是否达到策略要求。5、服务器的维护研究。拟采用的研究方法1、查找并阅读相关资料，了解基本内容。2、整理资料，制定安全策略文档，对整个项目进行架构。3、根据安全策略文档，在实验性服务器上配置。4、调试与维护服务器

8、。研究工作的进度安排2010年11月24日2010年11月28日论文（设计）选题2010年11月29日2011年01月10日，收集整理资料，完成文献综述和开题报告，论文（设计）提纲2011年02月2011年03月，制定安全策略，进行服务器配置2011年03月2011年04月，完善配置，测试服务器2011年04月2011年05月，扩大试验，归纳总结，完成毕业设计论文初稿2011年05月2011年06月，修改毕业论文定稿，打印装订，参加答辩参考文献目录（作者、书名或论文题目、出版社或刊号、出版年月日或出版期号）1 斯桃李，李战国计算机网络系统集成M北京:北京大学出版社，20072 杨明华，谭励，于

9、重重Linux系统与网络服务器管理技术大全M北京:电子工业出版社，20083 肖永生.Linux网络服务器设置与管理M.北京:海洋出版社,20064 杨建新,窦林卿.Red Hat Linux9入门与提高M.北京:清华大学出版社,20065 Christopher Negus美.Linux宝典(第4版)M.韩东儒,张波译.北京:人民邮电出版社，2008.66 王晓,刘乃琦,王榕.利用Netfilter/Iptables构建安全局域网J.中国电子科技大学互联网交换架构实验室,四川 成都.6100547 王卫星,李斌.基于Netfilter的Linux防火墙J. 福建电脑FUJIAN COMPUT

10、ER2009年第25卷第3期8王莉，黄光明，刘志愚基于Linux的具有DMZ防火墙的实现J微机发展期刊2004，14(4)：71779王继魁，基于Linux的netfilter/iptables防火墙的实现J通化师范学院学报2010，31(2)：555610梁子森，李晓军，王志刚基于Linux的IPtables共享上网及防火墙配置J计算机与现代化期刊2008，(8)：5153指导教师意见 签名： 年 月 日教研室主任意见 签名： 年 月 日目 录摘要7关键词7引言71 Iptables简介72 Iptables基础82.1 规则（rules）82.2 链（chains）82.3 表（table

11、s）93 iptables传输包过程104 Iptables基本命令格式105 校园网络的构建115.1 制定校园网张的安全策略125.2 校园网络拓扑136 iptables在校园网中的应用136.1 关闭系统防火墙136.2 启动iptables146.3 网卡的配置146.4 NAT服务器配置，实现校园网络共享上网156.5 iptables软件防火墙设置167 服务器的维护188 与其它防火墙的比较189 结束语19参考文献19Abstract20Keywords20致谢20Iptables和NAT服务在校园网中的应用及维护网络工程专业 指导老师 摘要校园网络的蓬勃发展，让网络的安全问

12、题成为了人们关注的焦点。本文介绍了Linux平台下的iptables服务，简述了iptables的基本原理与工作机制。以校园网络为应用实例，通过配置iptables实现NAT共享上网。用iptables和NAT服务打造出高效、安全的校园网络环境。关键词 Linux；Iptables；NAT；防火墙引言随着宽带网络的蓬勃发展，互联网已经在社会的各个领域得到了广泛应用。伴随着网络进校园的春风，学校的师生也能在日常的工作生活中充分享受到了现代网络带来的便利。然而我们在网络世界尽情遨游之时，往往把网络的安全问题抛之脑后，为了增加校园网络的安全，保障校园网的稳定运行，需要将内部网与Internet相隔离

13、，防火墙以一个网络卫士的身份应运而生，实现着管理者的安全策略，有效地保护校园网络的安全。校园网络有别于大型企业网络，它有其独特之处，如：网络拓扑结构简单；网络安全需求相对较低；用于网络建设与维护的资金不充裕等。鉴于上述特点，校园网络的安全不允许也无必要追求价格昂贵的硬件防火墙，Linux系统中强大的iptables服务成为了校园网络安全问题的最佳选择方案。此时只需利用一台Linux主机作网关，在其上运行iptables服务器，制定相应的数据包过滤规则，让每一个进出的数据包都按规则处理，通过iptables实现NAT服务，使局域网通过一个IP地址连接internet，有效地实现局域网共享上网。既

14、节俭了网络费用，解决IP地址短缺困难，又能屏蔽内部局域网抵御一定的网络攻击。1 Iptables简介iptables是Linux 内核集成的一款免费包过滤防火墙软件，它能代替昂贵的商业防火墙完成封包过滤，封包重定向和网络地址转换等功能。通过iptables服务，能更好的控制内部局域网与外部因特网之间的通信，控制 IP 信息包过滤和防火墙配置。Iptables的前身是ipchains，ipchains随着Linux 2.2.x内核一起发行，发展到Linux 2.4.x内核后，ipchains逐渐被功能强大的iptables所取代，iptables之所以能取代之前的ipchains，是因为它能够配

15、置有状态的防火墙，它可以检查数据包的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记（SYN、ACK、FIN、RST等）的状态，这些功能都是ipchains无法提供的，iptables跟踪整个连接会话，从而使整个过滤过程相互关联，这大大提高了信息包过滤的效率和速度。iptables信息包过滤系统由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（user

16、space），它使插入、修改和删除信息包过滤表中的规则变得容易。2 Iptables基础2.1 规则（rules）规则是用户在iptables服务器上预先设定的包过滤条件，它的语义一般为“如果数据包符合XX条件，就XX处理这个数据包”。规则储存于内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。如果数据包与规则相匹配，iptables就会根据规则预先制定的方法来处理数据包，处理动作有放行（accept）、拒绝（reject）和丢弃（drop）等。所以我们在配置iptables服务器时，最主要的工作就

17、是添加、修改和删除这些规则。2.2 链（chains）链是数据包传播路径，整个iptables服务一共只有五条链，分别为INPUT链；OUTPUT链；FORWARD链；PREROUTING链；POSTROUTING链。每一条链中都可能包含有一条或数条规则，而每一条链又将作为一个检查站，当一个数据包到达一个链时，iptables则启动数据包过滤功能，根据该链中的规则逐条依照次序进行检查，如果有找到与规则匹配条件，则按照规则预先定义的处理方式进行数据包处理，若当链中的每一条规则都进行过了检查而又无法匹配数据包，则认为该数据包不符合条件，此时则按照该链中预先定义的默认策略进行数据包的处理。2.3 表

18、（tables）iptables内置filter、nat和mangle三个功能表，数据过滤表filter包含INPUT、FORWARD、OUTPUT三个链；网络地址转换表nat包含PREROUTING、OUTPUT、POSTROUTING三个链；数据处理表mangle包含PREROUTING、OUTPUT两个链。 iptablesfilternatmangleINPUTOUTPUTOUTPUTFORWARDPREROUTINGPOSTROUTINGPREROUTINGOUTPUTRULE 图2.3 iptables结构Filter表是iptables的核心，它的主要任务就是数据包过滤，由fil

19、ter表进入iptables系统的数据包根据路由表决定将数据包发送给哪一条链，之后数据包会与链中所包含的规则逐条进行匹配，根据检查的结果按照规则预先定义的方法进行处理。(1)如果数据包的目的地址为本机，系统则会将数据包发往INPUT链，如果能与链中的相应规则匹配，则可以进入下一步的处理过程，否则此数据包将被丢弃。(2)如果数据包的目的地址不是本机，系统将把它转发到FORWARD链，如果系统的转发功能已经启动，那么这个数据包将按照它所携带的相应接口信息被发往目的地，但是如果系统尚未开启转发功能，此数据包将被丢弃。 (3)如果数据包是由于本机的进程所产生的，系统将会把该数据包送往OUTPUT链，如

20、果它能与链中的相应规则匹配，那么这个数据包将按照它所携带的相应接口信息被发往目的地，若未通过规则检查，该包将被系统丢弃。网络地址转换（nat）就是通过特定的手段来改变进出系统的数据包的IP地址，包括改变源IP地址/端口地址或目的IP地址/端口地址，分为源地址转换SNAT和目的地址转换DNAT。利用NAT技术可以把内部局域网的私有地址映射为外部因特网的真实IP地址，有效缓解了IP地址紧缺问题，还能屏蔽内部网络结构，实现IP伪装，有效的提高了网络的安全性。Mangle表的主要作用是可以实现路由前对数据报文的报头修改，或者给数据报文附上一些数据，供其他软件识别做进一步的处理。3 iptables传输

21、包过程图3.1 iptables传输过程如图所示：数据包进入系统时，首先进入PREROUTING链，内核根据数据包目的IP判断数据包的下一步操作；如果数据包是发给本机的，则进入INPUT链，此时任何进程都会收到它。而本机运行的程序发送的数据包会经过OUTPUT链，然后到达POSTROUTING链输出；如果数据包的目的地址不是本机而需要转发，则系统必须开启有转发功能，此时数据包将沿着FORWARD链到达POSTROUTING链输出。无论数据包在到达的哪个链，iptables都会根据链中定义的规则来处理数据包。iptables将数据包的包头信息与到达的相应链规则进行比较，若数据包与某条规则完全匹配

22、，则按照规则预先定义的方法处理该数据包；如果该包不符合链中任何一条规则，那么iptables将根据预先定义的默认策略来决定如何处理该数据包。4 Iptables基本命令格式Iptables的命令格式较为复杂，一般格式为:Iptables -t 表 -命令 匹配 操作命令中包含了iptables所在的工作表；表中的哪一条链；对链进行何种操作（插入、添加、删除、修改）；对所设定的规则进行何种目标动作以及对于规则该使用的相关匹配条件，以下的三个表中介绍了一些常用的选项：表41 命令选项命令说明-A在列表的最后增加1条规则-I在指定的位置插入1条规则-D从规则列表中删除1条规则-R替换规则列表中的某条

23、规则-L查看iptables规则列表-F删除表中的所有规则表42 匹配选项匹配说明-p指定数据匹配的协议，如tcp，udp，icmp等-i数据包输入网络接口-o数据包输出网络接口-s数据包源地址-d数据包目标地址-sport数据包源端口号-dport数据包目标端口号表43 动作选项动作说明ACCEPT接受数据包DROP丢弃数据包SNAT源地址转换DNAT目标地址转换MASQUERADEIP伪装LOG日志功能5 校园网络的构建随着Internet的普及，学校的教学与管理对网络的依赖性越来越强，校园网络环境的安全问题被越来越多的学校和教育机构所重视。如何创建安全、高效的校园网络成为了一个难题。限于

24、教育资金的紧缺，对于网络这一块的投入相对较少，所以对于安全设备的选取面相对就窄了，专业的安全设备价格昂贵，这是一些学校难以承受之重。此时Linux平台下的iptables以其安全、高效、开源、免费等特点，成为了校园网络安全建设中的首选方案。5.1 制定校园网张的安全策略要组建一个既经济又安全高效的校园网络，就必须从设计之初开始着手调查，摸清这个项目的网络需求，需要的安全等级。在设定防火墙之前，根据校园网络的安全需求，预先拟定一份合适的安全策略，其所需要的事先准备工作为：了解网络的拓扑构想与服务器所需要摆放的位置；整理出所需要保护的服务器的相关资料；评估网络的整体所要求的保护等级；根据以上事先了

25、解的数据资料，可以制定一份安全策略：校园网络的安全需求不高，服务器与工作站可以摆放在同一网段上，不需要采用防火墙缓冲区设计，简化网络拓扑，节约成本；校园网络规模较小，校园内网使用NAT虚拟网络，IP地址只需要一组，所有IP都通过IP伪装，通过NAT服务共享上网；在没有特别配置的时候，所有的工作站自由使用网络资源，不限制只能访问网页，服务器提供WEB、FTP、EMAIL、DNS服务，用以满足校园的日常需要，不提供proxy及其它网络服务；为了增加校园网络的安全性，其过滤规则采用正面表列方式进行封包过滤（定义想放行的封包，其它的包一律阻挡）网络的安全策略可以根据需要随时增加，总之校园网络所需要防范

26、的网络安全风险很多，制定策略的人员也不可能一一都能洞察到，只能大体上设定一个最初的安全要求，在日后的维护中，可以弹性的增删，一切只为了能给校园一个高效安全的、符合校园需求的网络环境。5.2 校园网络拓扑图5.2 校园网络拓扑如图所示，校园网络中有几个比较重要的服务，如WEB、FTP、EMAIL等，要构建一个实用的校园网络，这些服务是必不可少的。Linux系统上用APACHE运行WEB服务，使用的服务端口为80，所采用的是tcp或者udp协议。由于FTP有命令通道和数据通道的区别，所以FTP服务需要两个端口来支持，其中的数据端口为20，命令端口为21，而FTP服务又有主动服务和消极服务两种模式，

27、为了提高网络的安全性，在此我们选择消极服务模式。EMAIL服务包含SMTP和POP3两种协议，在此我们仅对SMTP协议的安全性问题进行分析，其端口号为21。对于这些特定的服务，我们既要保证能够让师生正常的访问，同时我们还要能做到防止非法入侵，禁止一切未经允许的数据包进入校园网络，影响网络安全。6 iptables在校园网中的应用6.1 关闭系统防火墙在安装Linux过程中，多数用户都开启了系统防火墙，由于系统防火墙功能也依托iptables来实现，因此用户在配置iptables的同时，规则可能与系统防火墙冲突。所以在使用iptables配置之前，必须先关闭系统防火墙。方法：执行“setup”命

28、令启动文字模式配置实用程序，在出现在界面上的选项中选择“Firewall configuration”，此时进入防火墙配置页面，选中“No firewall”选项，按“ok”，则完成对系统防火墙的关闭，之后可以开始配置用户自定义的iptables防火墙。6.2 启动iptables先确认iptables是否安装，使用命令：#rpm -qa|grep iptables启动命令：#service iptables start为了使开机时能自动运行iptables，可以在终端机窗口中输入“ntsysv”指令然后在出现的画面中，利用上下方向键将光标移到菜单中的“iptables”项目（同时确定ipch

29、ains选项没有被选中），然后按空格键以选择，最后利用Tab键将光标移到“确定”选项完成设置，如图：图6.2.1 开启iptables服务 6.3 网卡的配置在Linux主机上安装两块网卡，要求能被系统识别。网卡1为eth0，用来连接外网，网卡2为eth1，用以连接内部网络。配置eth0设定网卡1的IP地址为0，子网掩码为，0是其在internet上所分配到的合法IP地址，连接外部网络。为了能让网卡设置能永久保存，需要修改它的相关配置文件/etc/sysconfig/network-scripts/ifcfg-eth

30、0，内容为：DEVICE=eth0 #网卡设备名BOOTPROTO=static #IP地址为静态指定BROADCAST=55 #网卡的广播地址IPADDR=0 #网卡的IP地址NETMASK= #网卡的子网掩码NETWORK= #网卡的网络地址ONBOOT=yes #系统启动时激活该网卡TYPE=Ethernet #网卡类型为以太网配置eth1设定网卡2的IP地址为，子网掩码为，修改它的相关配置文件/etc/sysconfig/network

31、-scripts/ifcfg-eth1，内容为：DEVICE=eth1BOOOTPROTO=staticBROADCAST=55IPADDR=NETMASK=NETWORK=ONBOOT=yesTYPE=Ethernet重启网卡则设置生效。6.4 NAT服务器配置，实现校园网络共享上网网络上的合法IP地址是有限资源，无法为内部网络的每一台主机都配置正式地址，这里通过iptables的NAT功能，将私有地址/24转换为外部合法的IP地址0，用以实现整个网络的

32、共享上网。编写脚本：#echo 1 > /proc/sys/net/ipv4/ip_forward #打开内核转发功能#iptables -F #清空默认规则#iptables -Z #复位数据包计数器#iptables -P FORWARD DROP #不允许未指定的数据转发#iptables -A FORWARD -i eth0 -dst /24 -j ACCEPT #允许到内部网络的主机的转发#iptables -A POSTROUTING -t nat -s /24 -j SNAT -o eth0 - -to-source 202.10

33、3.221.50 #将内部网络地址转换成0#iptables A FORWARD I eth1 o eth0 s /24 d 0/0 j ACCEPT #允许从局域网转发的所有包此时所有主机都将以0这个IP地址对外访问。这实现了共享上网，也实现了IP伪装，有效的隐藏了内部网络拓扑，提高了网络的安全。6.5 iptables软件防火墙设置#iptables -F #清空所有规则#iptables -P INPUT DROP#iptables -P OUTPUT DROP#iptables -P FORWARD DROP#定

34、义默认规则，禁止所有IP传输#iptables -A INPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables A OUTPUT -m -state -state ESTABLISHED,RELATED -j ACCEPT#iptables -A FORWARD m state state ESTABLISHED,RELATED -j ACCEPT#iptables -t -nat -A PREROUTING -m state -state ESTABLISHED,RELATED -j ACCEPT#iptables -t -n

35、at -A POSTROUTING -m state -state ESTABLISHED,RELATED -j ACCEPT#建立状态数据包检查功能#iptables -t nat -A PREROUTING -i eth0 -s /24 -j DROP#防止IP欺骗#iptables -A INPUT -i lo -j ACCEPT#iptables A OUTPUT -o lo -j ACCEPT#启用回环接口，IP数据报可以在eth0与eth1之间传输。#iptables -A INPUT -i eth1 -s /24 -j ACCEPT#从

36、内部网发出的数据能被eth1接口接受#iptables -A OUTPUT -o eth1 -d /24 -j ACCEPT#从eth1接口向/24网络输出数据是允许的#iptables -A FORWARD -i eth0 -dst /24 -j ACCEPT #允许到内部网络的主机的转发#iptables -t nat -A POSTROUTING -s /24 -j SNAT -o eth0 -to-source 0 #将内部网络地址转换成0#ipt

37、ables A FORWARD i eth1 o eth0 s /24 d 0/0 j ACCEPT #允许从局域网转发的所有包#iptables -A INPUT f -i eth0 -j DROP#禁止所有分片包，防止分片包攻击WWW服务器的ip地址为,服务端口为80，采用tcp或udp协议。允许目的地址为内部网络WWW服务器的包通过iptables防火墙：#iptables t nat A PREROUTING p tcp s 0/0 d 0 dport 80 j DNAT to - dst j

38、 ACCEPT#iptables t nat A PREROUTING p udp s 0/0 d 0 dport 80 j DNAT to - dst j ACCEPT要允许远程SSH访问，定义以下规则：#iptables -A INPUT -p tcp -dport 22 -j ACCEPT #iptables -A OUTPUT -p udp -sport 22 -j ACCEPTFTP服务器的ip地址为,服务端口为20和21，允许目的地址为内部网ftp服务器的包通过iptables防火墙；。#iptables t

39、nat A PREROUTING p tcp s 0/0 d 0 dport 20 j DNAT to - dst j ACCEPT#iptables t nat A PREROUTING p tcp s 0/0 d 0 dport 21 j DNAT to - dst j ACCEPTEMAIL服务smtp服务器的ip地址为,服务端口为25，仅允许目的地址为内部网络smtp服务器的数据包通过iptables：#iptables t nat A PREROUTING p t

40、cp s 0/0 d 0 dport 25 j DNAT to - dst j ACCEPTDNS服务器的ip地址为,服务端口为53，仅允许目的地址为内部网DNS服务器的包通过iptables防火墙；#iptables t nat A PREROUTING p udp s 0/0 d 0 -dport 53 j DNAT to - dst j ACCEPT禁止特洛伊木马会扫描端口31337#iptables -A OUTPUT -o eth0 -p tcp -dport 3

41、1337 -sport 31337 -j DROP#iptables -A FORWARD -o eth0 -p tcp -dport 31337 -sport 31337 -j DROP通过上面的简单配置，一个小型的校园网络防火墙就完成了，之前所建立的规则都会被保存到内核中，但是当系统重启时，这些规则将会全部丢失。我们在希望系统每次重新引导后都能使用这些规则，使用命令iptables-save可以达到目的：#iptables-save> iptablesboot此时信息包过滤表中的规则被保存于文件iptablesboot中，如需在系统重新启动后使用该规则集，运行命令：#iptables

42、 restore iptables script还有一种方法则是为了更方便用户，专门建立了一个存放iptables的文件，即/etc/sysconfig/iptables,用户只需要在配置完成后运行命令：#iptables-save> /etc/sysconfig/iptables在每次系统重启或者iptables服务重启时，用户的规则集都将被系统读取到。7 服务器的维护要想让一台服务器高效永久的提供服务，做好日常的维护工作是必不可少的，当然首先要做好的是重要数据的备份，如iptables规则的相关脚本备份，将规则文件保存到当前用户目录下：iptables-save > /etc/

43、sysconfig/iptables，相关的命令也必须以文本的形式保存，以便能在服务器崩溃之时迅速的完成相关规则的恢复。除了软件方面的维护之外，硬件的设备也需要定时检查，看是否有设备出现异常，放置服务器的环境要求很高，环境、设备、人员等综合因素决定了服务器是否能够长时间无故障的保持服务。这对于学校的管理人员来说，这将是其工作的重点。8 与其它防火墙的比较iptables配置的防火墙是基于状态的，防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。它使用户可以完全控制防火墙配置和信息包过滤。人们可以按自己的应用需求来配置自己的规则，从而只允许自己想要的网络流量进入系统。另外，iptables 是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案。9 结束语一个好的网络环境，离不