linux下iptables的研究与实现

linux下iptables的研究与实现

ID:16107799

大小:766.50 KB

页数:43页

时间:2018-08-08

linux下iptables的研究与实现_第1页
linux下iptables的研究与实现_第2页
linux下iptables的研究与实现_第3页
linux下iptables的研究与实现_第4页
linux下iptables的研究与实现_第5页
资源描述:

《linux下iptables的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、目录1.2Linux包过滤防火墙的架构11.3Linux防火墙的安装、启动和关闭2第二章iptables简介52.1iptables的基本概念52.2iptables数据包的传输过程62.3激活IP包转发功能7第三章iptables的使用93.1iptables的命令格式93.2iptables命令的使用11第四章iptables实现NAT服务174.1NAT服务概述174.2利用iptables实现NAT服务19第五章iptables技巧实例255.1禁止访问不健康的网站255.2禁止某些客户上网255.3禁止客户使用某些服务265.4禁止使用ICMP协议265.5利用字符串匹配过滤视

2、频网站285.6利用iptables的定时功能305.7利用iplimit参数设置最大连接数31第六章致谢33参考文献341.2Linux包过滤防火墙的架构iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段:Ø在1.1内核中,采用ipfw来操作内核包过滤规则。Ø在2.0内核中,采用ipfwadm来操作内核包过滤规则。Ø在2.2内核中,采用ipchains来控制内核包过滤规则。Ø在2.4内核中(如RedHat9.0、RHEL),采用一个全新的内核包过滤管理工具——iptables。iptables只是防火墙与用户之间的接口,真正起到防火墙作用的是

3、Linux内核中运行的netfilter。Linux平台下的包过滤防火墙由netfilter组件和iptables组件组成,其中netfilter运行在内核态,而iptables运行在用户态,用户通过iptables命令来调用netfilter来实现防火墙的功能。(1)netfilter组件netfilter是Linux内核中的一个用于扩展各种网络服务的结构化底层框架。该框架定义了包过滤子系统功能的实现,提供了filter、nat和mangle3个表,默认使用的是filter表。每个表中包含有若干条内建的链(chains),用户可在表中创建自定义的链。在每条链中,可定义一条或多条过滤规则

4、(rules)。每条规则应指定所要检查的包的特征以及如何处理与这对应的包,这被称为目标(target)。目标值可以是用户自定义的一个链名,也可以是ACCEPT、DROP、REJECT、RETURN等值。42(2)iptables组件iptables组件是一个用来指定netfilter规则和管理内核包过滤的工具,用户通过它来创建、删除或插入链,并可以在链中插入、删除和修改过滤规则。iptables仅仅是一个包过滤工具,对过滤规则的执行则是通过netfilter和相关的支持模块来实现的。1.3Linux防火墙的安装、启动和关闭iptables防火墙内置于RedHat系统内核中,所以它是随系统

5、的安装而自动安装的。可使用如下命令检查是否已安装(如下图):图1-2检查iptables是否安装安装RHEL4AS时系统会提示是否开启防火墙,默认情况下将开启防火墙。由于系统的防火墙功能是使用iptables实现的,因此系统会根据用户的设置在iptables中添加相应的规则。如果在安装时选择禁用防火墙,则在安装完成后可在终端命令窗口中执行“setup”命令将弹出“配置应用程序”窗口(如下图1-3)。42图1-3“配置应用程序”窗口选择Firewallconfiguration选项,则会进入防火墙配置窗口如图1-4。图1-4“防火墙配置”窗口42图1-5“防火墙配置-定制”窗口完成以上配置

6、后,可在终端命令窗口中执行如下命令启动iptables防火墙如图1-6:图1-6启动iptables防火墙42第二章iptables简介2.1iptables的基本概念在使用iptables之前我们先要理解规则、链、表这3个概念以及iptables传输数据包的过程。Ø规则规则(rules)就是网络管理员预先定义的条件,每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数包”。Ø链链(chains)是数据包传输的路径,每一条链中可以有一条或数条规则。Ø表iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功能。(1)filter表f

7、ilter表是iptables默认的表,如果没有指定使用哪个表,iptables默认使用filter表来执行所有的命令。filter表根据系统管理员预定义的一组规则过滤符合条件的数据包。在filter表中只允许对数据包进行接收、丢弃的操作,而无法对数据包进行更改。(2)nat表42nat表主要是用于网络地址转换NAT,该表可以实现一对一、一对多、多对多等NAT工作。NAT表包含了PREROUTING链、OUTPUT链和POSTROU

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。