返回
netfilter-iptables防火墙设置(上)

netfilter-iptables防火墙设置(上)

ID:22371768

大小:61.50 KB

页数:9页

时间:2018-10-28

netfilter-iptables防火墙设置(上)_第1页
netfilter-iptables防火墙设置(上)_第2页
netfilter-iptables防火墙设置(上)_第3页
netfilter-iptables防火墙设置(上)_第4页
netfilter-iptables防火墙设置(上)_第5页
资源描述:

《netfilter-iptables防火墙设置(上)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、NetFilter/iptables防火墙设置(上)~教育资源库  大多数主要的Linux发行商,包括SuSE,在防火墙设置方面都有某些独特的用户接口特征。他们这样并没有错,但是这样我就无法直接得到最想要的配置,所以只好自己手动设置。Iptableman页面完全是个依照iptable命令行句法的文件,它不提供关于将不同规则的防火墙结合起来的指导说明。你可以搜索到许多零散的关于iptables的信息,但是这些都不足以教会我想要弄明白的东西。最后我用运行着SuSELinuxPro10.0的一个Vmangle和raoveanyexistingrulesfromthetabl

2、es:  接下来我们要除去表中所有现有的规则:iptables-F-tnatiptables-F-tmangleiptables-F-tfilteriptables-X前三句依次去掉所有nat,mangle以及filter表中的规则。最后一句去掉所有用户定义的链。  路由  我将要构造的防火墙,还将是一个能够转发数据的路由器。Linux上的IP堆栈可以如路由器一般动作,并且开能够很简单地激活:echo1>/proc/sys/ipv4/ip_forstate--1234下一页友情提醒:,特别!stateESTABLISHED,RELATED-jACCEPT本句规定

3、了过滤表转发链的规则。该规则应用于内网接口的入站数据流以及公网接口出站数据流。该规则加载NetFilterstate模块并且限制对已经建立的会话以及相关会话状态的中的数据包的操作规则。匹配的数据包被路由器接受。而相关会话状态则是在那种有与允许的出站会话相关联的次级通道情况下使用的,比如ftp会话的数据连接。  可信赖的防火墙  如果我们不相信防火墙,那么我们就不应当把它当防火墙用。防火墙应当能够访问其他网络。  首先我们将处理虚拟网段(lo)接口。只要有允许所有输入输出的数据就行了:iptables-AINPUT-ilo-jACCEPTiptables-AOUTPUT

4、-olo-jACCEPT  这些规则很简单,我们可以看到第一句接受过滤表中输入链的数据,到达lo接口的数据由该表处理。第二句接受过滤表中输出链的数据,从lo接口输出的数据由该表处理。  同样的,我们希望允许防火墙与内网的主机相通:iptables-AINPUT-i$IF_PRV-s$_PRV-jACCEPTiptables-AOUTPUT-o$IF_PRV-d$_PRV-jACCEPT  第一句使防火墙接受内网接口进入的源自内网的数据流。第二句使防火墙允许内网接口输出的目的地在内网的数据流。  我们不能对公网接口用同样的规则,因为那样会允许所有数据流连接到防火墙。另一

5、方面,我们希望防火墙能够不受限制地访问公网:iptables-AOUTPUT-o$IF_PUB-jACCEPTiptables-AINPUT-i$IF_PUB-mstate--stateESTABLISHED,RELATED-jACCEPT  以上两句允许防火墙通过公网接口发送数据流到任何地方,但它只限接受已经存在的连接或者与之相关的输入数据流。因此该句允许防火墙与一些公网主机连接,还有允许那些连接中的输入数据流,但是不允许从公网连接到防火墙。  注意区分公网和内网的接口规则。我们假设内网上所有的机器都可信赖,并且公网上的所有主机都不可信。  内网路由  内网是非公开

6、路由的IP网络。这就要求内网得有个带公网IP地址的路由器来做地址转换,否则内网就收不到公网返回的数据包。用iptables很容易就可以进行地址转换。需要转换的地址是会话的源,因此该模块叫做源NAT(SNAT):iptables-tnat-APOSTROUTING-s$_PRV-o$IF_PUB-jSNAT--to$IP_PUB  需要注意,我们用的-tnat这个规则规定了这个表。该规则不是应用在默认的filter表中的。它是应用在NAT表的post-routing链中的。换句话说,确定路由之后才会应用该规则。它应用在内网上带源地址的数据包上,该数据包即将输出到公网接口

7、上。该规则的动作就是执行SNAT并且把数据包的源IP地址变换成公网接口的IP地址。  也许你会奇怪为什么没有规则来执行这个相反的转换。为了实现那种规则,NetFilter必须知道对哪个数据包应用这样的规则。使用它的唯一有效的地方就是会话本身。由于NetFilter要维持这些规则的表,因此相反的转换规则是没必要的,并且在会话中接受到的数据包系统会自动进行相反的转换。  哲学问题  到现在为止,我们已经处理了所有我们信任和不信任的信息了。在决定允许对哪些信息的受限制访问之前,我需要讲一下对被拒绝的数据流的合理响应。到目前为止,我们的策略是将不接受的数据包

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。