第6章 组建Linux局域网与网络互连 1.doc

第6章 组建Linux局域网与网络互连 1.doc

ID:28813800

大小:280.00 KB

页数:11页

时间:2018-12-14

第6章 组建Linux局域网与网络互连 1.doc_第1页
第6章 组建Linux局域网与网络互连 1.doc_第2页
第6章 组建Linux局域网与网络互连 1.doc_第3页
第6章 组建Linux局域网与网络互连 1.doc_第4页
第6章 组建Linux局域网与网络互连 1.doc_第5页
资源描述:

《第6章 组建Linux局域网与网络互连 1.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第6章组建Linux局域网与网络互连16.6防火墙的设置16.6.1Netfilter/iptables简介16.6.2iptables的语法及其使用26.6.3防火墙的设置46.7NAT的设置76.7.1NAT概述76.7.2NAT的设置9第6章组建Linux局域网与网络互连6.6防火墙的设置通过使用防火墙可以实现的功能:①可以保护易受攻击的服务;②控制内外网之间网络系统的访问;③集中管理内网的安全性,降低管理成本;④提高网络的保密性和私有性;⑤记录网络的使用状态,为安全规划和网络维护提供依据。防火墙技术根据防范

2、的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙、应用代理(网关)防火墙和状态(检测)防火墙。包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。Linux提供了一个非常优秀的防火墙工具Netfilter/iptable

3、s,它免费、功能强大、可以对流入流出的信息进行灵活控制,并且可以在一台低配置机器上很好的运行。6.6.1Netfilter/iptables简介Linux在2.4以后的内核中包含Netfilter/iptables,系统这种内置的IP数据包过滤工具使得配置防火墙和数据包过滤变得更加容易,使用户可以完全控制防火墙配置和数据包过滤。Netfilter/iptables允许为防火墙建立可定制的规则来控制数据包过滤,并且还允许配置有状态的防火墙。另外,Netfilter/iptables还可以实现NAT(网络地址转换)和数

4、据包的分割等功能。Netfilter组件也称为内核空间,是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables组件是一种工具,也称为用户空间,它使插入、修改和删除数据包过滤表中的规则变得容易。使用用户空间(iptables)构建自己定制的规则,这些规则存储在内核空间的过滤表中。这些规则中的目标告诉内核,对满足条件的数据包采取相应的措施。根据规则处理数据包的类型,将规则添加到不同的链中。数据包过滤表(filter)中内置的缺省主规则链有三个:INPUT链:添加处理入站数

5、据包的规则。OUTPUT链:添加处理出站数据包的规则。FORWARD链:添加处理正在转发的数据包的规则。每个链都可以有一个策略,即要执行的缺省操作,当数据包与链中的所有规则都不匹配时,将执行此操作(理想的策略应该丢弃该数据包)。数据包经过filter表的过程如图7-43所示。图7-43数据包经过Filter表的过程6.6.2iptables的语法及其使用通过使用iptables命令建立过滤规则,并将这些规则添加到内核空间过滤表内的链中。添加、删除和修改规则的命令语法如下:#iptables[-ttable]comm

6、and[match][target]1.table[-ttable]有三种可用的表选项:filter、nat和mangle。该选项不是必需的,如未指定,则filter作为缺省表。filter表用于一般的数据包过滤,包含INPUT、OUTPUT和FORWARD链。nat表用于要转发的数据包,包含PREROUTING、OUTPUT和POSTROUTING链。mangle表用于数据包及其头部的更改,包含PREROUTING和OUTPUT链。2.commandcommand是iptables命令中最重要的部分,它告诉ipt

7、ables命令要进行的操作,如插入规则、删除规则、将规则添加到链尾等等。常用的一些命令见表7-3:表7-3iptables常用命令命令功能-A该命令将一条规则附加到链的末尾-D通过用-D指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则-I在指定的位置插入一条规则-R替换规则列表中的某条规则-P设置链的缺省目标,即策略。所有与链中任何规则都不匹配的数据包都将被强制使用此链的策略-N用命令中所指定的名称创建一个新链-F如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有链中的所有规

8、则。此参数用于快速清除-X清除预设表filter中使用者自定链中的规则-L列出指定链中的所有规则示例:#iptables-AINPUT-s192.168.0.10-jACCEPT该命令将一条规则附加到INPUT链的末尾,确定来自源地址192.168.0.10的数据包可以ACCEPT。#iptables-DINPUT--dport80-jDROP该命令从INP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。