使用Iptables构建Linux防火墙.ppt

《使用Iptables构建Linux防火墙.ppt》由会员分享，可在线阅读，更多相关《使用Iptables构建Linux防火墙.ppt（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、使用使用Iptables构建构建Linux防火墙防火墙相关参考文献相关参考文献nLinux2.4PacketFilteringHOWTOnLinux2.4NATHOWTOn信息安全综合实验讲义LinuxKernel中的包过滤防火墙nIpfw/ipfwadmn2.0.*中使用移植于BSD的ipfwn缺点：包过滤、NAT等代码混杂在整个网络相关代码中nIpchainsn2.2.*中使用nNetfilter/iptablesn2.4.*n模块化，支持状态跟踪Netfilter/iptablesn可以实现完整的基于连接跟踪的包过滤防火墙n支持包过滤，双向地址转换n路由型Netfilter结构示意图结构

2、示意图filter内定规则链进来的数据包路由本机发出的数据包FORWARDINGINPUTOUTPUTnat中的内定规则链PREROUTING进来的数据包路由本机发出的数据包POSTROUTINGPREROUTING 处理DNAT规则POSTROUTING 处理SNAT规则连接的第一个数据包处理后会保持一些信息，用来在应答的数据包再次通过时修改数据包内容netfilter/iptablesNetfilter/iptablesnNetfilter/iptablesnNetfilter是Linuxkernel中对数据包进行处理的框架n定义了5个HOOK位置nNF_IP_PRE_ROUTINGnNF

3、_IP_LOCAL_INnNF_IP_FORWARDnNF_IP_POST_ROUTINGnNF_IP_LOCAL_OUT包过滤防火墙包过滤防火墙n规则n条件动作序列n条件n源地址、目的地址、协议、端口、协议内部数据、时间、物理接口n动作nACCEPT允许nDROP直接丢弃nREJECTtcp-reset/icmp-port-unreachablenLOG日志包过滤防火墙n有先后关系n数据包的处理n接收到数据包n逐条对比规则n如果满足条件，则进行相应的动作，如果动作不是ACCEPT/DROP/REJECT，继续处理后面的规则Iptables防火墙配置n包过滤nINPUT/OUTPUT/FORW

4、ARD三个规则链n可以增加自定义规则链niptablesNxxxn命令格式niptablesLnv显示niptablesF规则链名清空规则链niptablesA规则链名规则增加规则niptablesI规则链名规则插入规则niptablesD规则链名规则删除规则niptablesD规则链名规则编号包过滤n规则n-j动作.条件n动作为：nACCEPT接受数据包nDROP丢弃数据包nRETURN从当前规则链返回nLOG日志，用dmesg可以看到nREJECTnSNAT/DNAT等包过滤n条件-sIP地址源地址-dIP地址目的地址-i接口名接收的接口-o接口名发送的接口-mstate-state状态状

5、态包过滤ESTABLISHEDRELATEDNEWINVALID-ptcp/udp/icmp协议-dport目的端口（或者服务名称）-sport源端口源地址转换SNATNAT设备客户机服务器10.0.0.1:1024-202.38.64.2:8061.132.182.2:8133-202.38.64.2:8061.132.182.2:8133 -202.38.64.2:8010.0.0.1:1024 -202.38.64.2:80内部网络外部网络源地址转换 SNAT目的地址转换DNATNAT设备服务器客户机10.0.0.1:80 -202.38.64.2:102461.132.182.2:80 202.38.64.2:102410.0.0.1:80-202.38.64.2:1024内部网络外部网络目的地址转换 DNATNAT配置niptablestnatnPREROUTING/FORWARD/POSTROUTING三个规则链n其他选项与包过滤类似组网实例组网实例与上图拓扑的区别？组网实例分析分别对应的功能？