返回
linux下基于netfilter-iptables防火墙的构建

linux下基于netfilter-iptables防火墙的构建

ID:22000624

大小:54.00 KB

页数:5页

时间:2018-10-26

linux下基于netfilter-iptables防火墙的构建_第1页
linux下基于netfilter-iptables防火墙的构建_第2页
linux下基于netfilter-iptables防火墙的构建_第3页
linux下基于netfilter-iptables防火墙的构建_第4页
linux下基于netfilter-iptables防火墙的构建_第5页
资源描述:

《linux下基于netfilter-iptables防火墙的构建》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Linux下基于Netfilter/iptables防火墙的构建:随着Inter的普及,X络的安全显得尤为重要。Linux提供的基于Netfilter/iptables的防火墙,具有通用性和可扩展的特点,实现了一种性价比较高的安全方案,可以有效地阻止恶意攻击,成为很多X络管理员的选择。该文首先阐述了Netfilter/iptables防火墙的工作原理,然后详细介绍了iptables的用法和各规则链的作用,最后用实例说明如何利用iptables建立功能强大的防火墙,有效防范外部攻击,保护内部X络安全。  关键词:防火墙;Netfilter

2、;iptables;Linux  :TP393:A:1009-3044(2011)19-4550-03  FireentBasedonNetfilter/IptablesinLinuxKernel  JIGang1,YAOYan2,TANGHuai-ou1  (1.TechnicalSupportCenterForAtmosphereObservation,AnhuiMeteorologicalAssociation,Hefei230031,China;2.ore.Netfilter/iptablesframeplementationa

3、liablesafetyschemeeffectively.Itcaneffectivelypreventhostilityattack,andbeeschoiceofmanyadministratorsofepleispresentedfordemonstratinghoangle),它们的处理功能如下: filter表:包含INPUT链、FORangle表:包含PREROUTING链和OUTPUT链,实现对数据包的修改或给数据包附上一些外带数据。  1.2.2iptables语法格式  配置iptables防火墙可以在shell中使

4、用iptables命令完成,也可以编写Iptables.sh脚本集合多条语句一次执行。无论哪种方式,iptables命令格式基本上是一样的。iptables添加、删除、编辑规则的一般语法格式如下(特别注意的是,编写规则时严格区分大小写):  iptables[-ttable]mand[match][target]  table一般指Netfilter/iptables内置的三个表:filter、nat或mangle。若在[-ttable]处不指定表名,默认使用filter表来执行所有的命令。  mand告诉程序该做什么,操作命令有-A(

5、APPEND)、-I(INSERT)、-D(DELETE)、-R(REPLACE)分别表示添加、插入、删除、替换一条规则,-P(POLICE)表示设置某个链的默认规则,-F(FLUSH)表示清空规则,-L(LIST)表示列出规则。  match细致地描述了包的某个特点,以使这个包区别于其它所有的包。在这里,我们可以指定包的或目的IP地址、X络接口、或目的端口、协议类型等。  最后是数据包的目标所在target。若数据包符合所有的match,内核就用target来处理它,或者说把包发往target。比如,我们可以让内核把包发送到当前表中的

6、其他链(可能是我们自己建立的),或者只是丢弃这个包而不做任何处理,或者向发送者返回某个特殊的应答。例如规则:  iptables–tfilter–AINPUT–ptcp–s10.129.1.0/24–d10.129.2.16–dport80–ieth1–oeth0–jACCEPT,其意义是允许通过X卡ethl进人的来自源地址是10.129.1.0/24X段的主机的数据包通过X卡eth0使用TCP协议访问目的地是10.129.2.16主机的80端口。  2基于Netfilter/iptables防火墙的设计与构建  2.1设计原则及方案 

7、 数据包过滤规则的设计原则就是要有利于内部X络连向外部X络。防火墙有两种基本的策略方法:①首先允许所有的包,然后再禁止有危险的包通过防火墙;②首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。本文采用了前者,通过检查数据包地址来决定是把数据包传到本地X还是阻止数据包进入本地X。它由一组接受和禁止规则列表组成。这些规则明确定义了哪个包将被允许或不被允许通过X络接口,使用包头字段来决定是否允许路由一个包通过,或者接收,或者拒绝。这些规则基于源IP地址、目的IP地址、TCP和UDP的服务端口及这些包是进入的还是发出的包。  2.

8、2构建Netfilter/iptables防火墙  假设有一个局域X要连接到Inter上,外部X络地址为218.22.3.200,内部X络地址10.129.2.201。具体操作步骤如下:  第一,在一台Li

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。