資源描述:
《使用Iptables構(gòu)建Linux防火墻》由會(huì)員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1����、使用Iptables構(gòu)建Linux防火墻相關(guān)參考文獻(xiàn)Linux2.4PacketFilteringHOWTOLinux2.4NATHOWTO信息安全綜合實(shí)驗(yàn)講義LinuxKernel中的包過(guò)濾防火墻Ipfw/ipfwadm2.0.*中使用移植于BSD的ipfw缺點(diǎn):包過(guò)濾、NAT等代碼混雜在整個(gè)網(wǎng)絡(luò)相關(guān)代碼中Ipchains2.2.*中使用Netfilter/iptables2.4.*http://www.netfilter.org/模塊化����,支持狀態(tài)跟蹤Netfilter/iptables可以實(shí)現(xiàn)完整的基于連接跟蹤的包過(guò)濾防
2、火墻支持包過(guò)濾��,雙向地址轉(zhuǎn)換路由型Netfilter結(jié)構(gòu)示意圖filter內(nèi)定規(guī)則鏈進(jìn)來(lái)的數(shù)據(jù)包路由本機(jī)發(fā)出的數(shù)據(jù)包FORWARDINGINPUTOUTPUTnat中的內(nèi)定規(guī)則鏈PREROUTING進(jìn)來(lái)的數(shù)據(jù)包路由本機(jī)發(fā)出的數(shù)據(jù)包POSTROUTINGPREROUTING處理DNAT規(guī)則POSTROUTING處理SNAT規(guī)則連接的第一個(gè)數(shù)據(jù)包處理后會(huì)保持一些信息�����,用來(lái)在應(yīng)答的數(shù)據(jù)包再次通過(guò)時(shí)修改數(shù)據(jù)包內(nèi)容netfilter/iptablesNetfilter/iptablesNetfilter/iptablesNetfilt
3�、er是Linuxkernel中對(duì)數(shù)據(jù)包進(jìn)行處理的框架定義了5個(gè)HOOK位置NF_IP_PRE_ROUTINGNF_IP_LOCAL_INNF_IP_FORWARDNF_IP_POST_ROUTINGNF_IP_LOCAL_OUT包過(guò)濾防火墻規(guī)則條件動(dòng)作序列條件源地址、目的地址�、協(xié)議���、端口、協(xié)議內(nèi)部數(shù)據(jù)�、時(shí)間、物理接口動(dòng)作ACCEPT允許DROP直接丟棄REJECTtcp-reset/icmp-port-unreachableLOG日志包過(guò)濾防火墻有先后關(guān)系數(shù)據(jù)包的處理接收到數(shù)據(jù)包逐條對(duì)比規(guī)則如果滿足條件���,則進(jìn)行相應(yīng)的動(dòng)作�,如
4���、果動(dòng)作不是ACCEPT/DROP/REJECT�,繼續(xù)處理后面的規(guī)則Iptables防火墻配置包過(guò)濾INPUT/OUTPUT/FORWARD三個(gè)規(guī)則鏈可以增加自定義規(guī)則鏈iptables–Nxxx命令格式iptables–L–nv顯示iptables–F規(guī)則鏈名清空規(guī)則鏈iptables–A規(guī)則鏈名規(guī)則增加規(guī)則iptables–I規(guī)則鏈名規(guī)則插入規(guī)則iptables–D規(guī)則鏈名規(guī)則刪除規(guī)則iptables–D規(guī)則鏈名規(guī)則編號(hào)包過(guò)濾規(guī)則-j動(dòng)作….條件動(dòng)作為:ACCEPT接受數(shù)據(jù)包DROP丟棄數(shù)據(jù)包RETURN從當(dāng)前規(guī)則鏈返回L
5��、OG日志���,用dmesg可以看到REJECTSNAT/DNAT等包過(guò)濾條件-sIP地址源地址-dIP地址目的地址-i接口名接收的接口-o接口名發(fā)送的接口-mstate--state狀態(tài)狀態(tài)包過(guò)濾ESTABLISHEDRELATEDNEWINVALID-ptcp/udp/icmp協(xié)議--dport目的端口(或者服務(wù)名稱)--sport源端口源地址轉(zhuǎn)換SNATNAT設(shè)備客戶機(jī)服務(wù)器10.0.0.1:1024->202.38.64.2:8061.132.182.2:8133->202.38.64.2:8061.132.182.2:8
6�����、133<-202.38.64.2:8010.0.0.1:1024<-202.38.64.2:80內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)源地址轉(zhuǎn)換SNAT目的地址轉(zhuǎn)換DNATNAT設(shè)備服務(wù)器客戶機(jī)10.0.0.1:80<-202.38.64.2:102461.132.182.2:80<-202.38.64.2:102461.132.182.2:80->202.38.64.2:102410.0.0.1:80->202.38.64.2:1024內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)目的地址轉(zhuǎn)換DNATNAT配置iptables–tnatPREROUTING/FORWARD/
7���、POSTROUTING三個(gè)規(guī)則鏈其他選項(xiàng)與包過(guò)濾類似-jSNAT--tox.x.x.x-jDNAT--tox.x.x.x組網(wǎng)實(shí)例組網(wǎng)實(shí)例與上圖拓?fù)涞膮^(qū)別?組網(wǎng)實(shí)例分析分別對(duì)應(yīng)的功能?
