資源描述:
《搭建基于netfilter-iptables的防火墻實驗環(huán)境》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在應用文檔-天天文庫����。
1、搭建基于netfilter/iptables的防火墻實驗環(huán)境~教育資源庫 防火墻作為一種網(wǎng)絡或系統(tǒng)之間強制實行訪問控制的機制��,是確保網(wǎng)絡安全的重要手段。針對不同的需求和應用環(huán)境����,可以量身定制出不同的防火墻系統(tǒng)。防火墻大到可由若干路由器和堡壘主機構成�,也可小到僅僅是網(wǎng)絡操作系統(tǒng)上一個防火墻軟件包所提供的包過濾功能。在眾多網(wǎng)絡防火墻產(chǎn)品中�����,Linux操作系統(tǒng)上的防火墻軟件特點顯著�����。首先是Linux操作系統(tǒng)作為一個類Unix網(wǎng)絡操作系統(tǒng)����,在系統(tǒng)的穩(wěn)定性��、健壯性及價格的低廉性方面都獨具優(yōu)勢�����。更為重要的是����,Linux不但本身的源代碼完全開放�,而且系統(tǒng)包含了建立Inter網(wǎng)絡環(huán)境所需要的所
2���、有服務軟件包�����,如Apacheail服務器�、Database服務器等���。同樣����,基于Linux的防火墻軟件不但具有強大的功能���,而且大部分都是開放軟件���。 隨著Inter的飛速發(fā)展��,安全問題越來越重要����。利用Linux構建企業(yè)網(wǎng)深受中小企業(yè)的青睞�����,而利用Linux構建企業(yè)網(wǎng)的防火墻系統(tǒng)也成為眾多中小企業(yè)的理想選擇���。Linux內(nèi)核從1.1版本開始,就已經(jīng)具備包過濾功能��。在2.0內(nèi)核中���,開始采用Ipf來操作內(nèi)核的包過濾規(guī)則��。到2.2版本時,Linux內(nèi)核采用了Ipchains來控制內(nèi)核的包過濾規(guī)則�����。發(fā)展到2.4.x時�����,Ipchains被一個全新的包過濾管理工具Iptables所替代��。新發(fā)布的2
3、.6版內(nèi)核也在安全方面進行了改進����。因此,無論擁有哪個版本的Linux內(nèi)核��,無論選擇哪個版本的Linux來構建自己的企業(yè)網(wǎng)���,都可以利用現(xiàn)有的系統(tǒng)構建出一個理想實用的防火墻����。防火墻系統(tǒng)可分為包過濾型����、應用級網(wǎng)關(也叫代理服務器型防火墻)和電路級網(wǎng)關三種基本類型?���! inux提供的防火墻軟件包內(nèi)置于Linux內(nèi)核中,是一種基于包過濾型的防火墻實現(xiàn)技術�����。其中心思想是根據(jù)網(wǎng)絡層IP包頭中的源地址��、目的地址及包類型等信息來控制包的流向。更徹底的過濾則是檢查包中的源端口���、目的端口以及連接狀態(tài)等信息����。Netfilter是Linux核心中一個通用架構�����,用于擴展各種服務的結構化底層服務�。它提供一系
4、列的表(tables)�����,每個表由若干鏈(chains)組成�,而每條鏈中可以由一條或數(shù)條規(guī)則(rule)組成。它可以和其它模塊(如iptables模塊和nat模塊)結合起來實現(xiàn)包過濾功能���。Iptables是一個管理內(nèi)核包過濾的工具,可以加入���、插入或刪除核心包過濾表格中的規(guī)則����。實際上真正來執(zhí)行這些過濾規(guī)則的是Netfilter?��! ∮布脚_: ?��、賀.Hlinux9.0系統(tǒng)pc一臺(Fireask255.255.255.0 編輯/etc/sysconfig/ASK=255.255.255.0123下一頁友情提醒:,特別�!IPADDR=192.168.1.1 增加一條靜態(tài)路由:
5、#routeadd-192.168.1.0mask255.255.255.0 最后配置eth2���,它連接192.168.2.0網(wǎng)段�,分配的IP地址是192.168.2.1���,執(zhí)行下列命令: #ifconfigeth2192.168.2.1mask255.255.255.0 -5- 編輯/etc/sysconfig/ask255.255.255.0 這樣網(wǎng)絡中就有三條靜態(tài)路由記錄了: #routeKernelIProutingtableDestinationGateaskFlagsMetricRefUseIface 218,197.93.115*255.255.255.0
6��、U000eth0 192.168.1.0*255.255.255.0U000eth1 192.168.2.0*255.255.255.0U000eth2 還要為系統(tǒng)增加一條缺省路由�����,因為缺省的路由是把所有的數(shù)據(jù)包都發(fā)往它的上一級網(wǎng)關���,因此增加如下的缺省路由記錄: #routeadddefaultgaskFlagsMetricRefUseIface 218,197.93.115*255.255.255.0U000eth0 192.168.1.0*255.255.255.0U000eth1 192.168.2.0*255.255.255.0U000eth2 defau
7��、lt218.197.93.2540.0.0.0UG000eth0 二>在C上開啟,ftp服務: #serviceipv4/ip_forward 四>在防火墻上實現(xiàn)端口地址映射: ◆允許A機器訪問WAN iptables-AFORWARD-s192.168.2.0/24-ieth2-jACCEPT ◆A往C的包都允許 iptables-AFORWARD-s192.168.2.0/24-d192.168.1.0/24-ieth2-jACCEPT ◆WAN往
