返回
iptables手册与示例

iptables手册与示例

ID:35200911

大小:1.60 MB

页数:56页

时间:2019-03-21

iptables手册与示例_第1页
iptables手册与示例_第2页
iptables手册与示例_第3页
iptables手册与示例_第4页
iptables手册与示例_第5页
资源描述:

《iptables手册与示例》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、iptables建立linux防火墙我们可以用LINUX建立一个企业级的防火墙吗?答案是肯定的,不仅可以,而且功能强大。我们在这里不打算涉及ipchains,毕竟iptables可以做的更出色。iptables对包的处理和ipchains很不同,已经从链变成了堆叠表,更重要的是iptables可以是基于状态的,而不仅仅是包过滤的。用它可以构建强大的防火墙,据说曾经有人用它写过一万行的代码,想来一定非常很出色。防火墙的任务防火墙在实施安全的过程中,至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的需求

2、。防火墙要能满足以下四个目标:1>实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略,比如你的安全策略需要对MAIL服务器的SMTP流量做限制,那么你要在防火墙上强制这些策略。2>创建一个阻塞点防火墙在一个公司的私有网络和分网间建立一个检查点。这种实现要求所有的流量都要经过这个检查点。一旦检查点被建立,防火墙就可以监视,过滤和检查所有进出的流量。网络安全中称为阻塞点。通过强制所有进出的流量都通过这些检查点,管理员可以集中在较少的地方来实现安全目的。3>记录internet活动防火墙还能强制记录日志,并且提供警报功能。通过在防火墙上实现日志服务,管理员可以监视所有从外部网或互联网的访问

3、。好的日志是适当网络安全的有效工具之一。4>限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进入的流量进行检查,以限制从外部发动的攻击。一、状态究竟是什么首先让我们看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收

4、到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。-56-举一个具体的例子:假设网络中有一台服务器A(IP地址为1.1.1.1)提供WWW服务,另有客户机B(2.2.2.2)、C(3.3.3.3)。首先,服务器A运行提供WWW服务的后台程序(比如Apache)并且把该服务绑定到端口80,也就是说,在端口80进行监听。当B发起一个连接请求时,B将打开一个大于1024的连接端口(1024内为已定义端口),假设为1037。A在接收到请求后,用80端口与B建立连接以响应B的请求,同时产生一个80端口绑定的拷贝,继

5、续监听客户端的请求。假如A又接收到C的连接请求(设连接请求端口为1071),则A在与C建立连接的同时又产生一个80端口绑定的拷贝继续监听客户端的请求。如下所示,因为系统是以源地址、源端口、目的地址、目的端口来标识一个连接的,所以在这里每个连接都是唯一的。服务器客户端连接1:1.1.1.1:80<=>2.2.2.2:1037连接2:1.1.1.1:80<=>3.3.3.3:1071从上边我们可以看出,每个网络连接包括以下信息:源地址、目的地址、源端口和目的端口,叫作套接字对(socketpairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful),能够

6、检测每个连接状态的防火墙叫作状态包过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。这连接跟踪的表是/proc/net/ip_conntrack(conntrack就是connectiontracking的首字母缩写),能容纳多少记录是被一个变量控制的。默认值取决于你的内存大小,128MB可以包含8192条目录,256MB是16376条。你也可以在/proc/sys/net/ipv4/ip_conntrack_max里查看、设置。注意:必须要加载ip_conntrack模块后才可以看到/proc/net/ip

7、_conntrack表。可以用modprobeip_conntrack来加载。Ip_conntrack表如下图:每一种特定的服务都有自己特定的端口,一般说来小于1024的端口多为保留端口,或者说是已定义端口,低端口分配给众所周知的服务(如WWW、FTP等等),从512到1024的端口通常保留给特殊的UNIXTCP/IP应用程序,具体情况请参考/etc/services文件或RFC1700。  ip

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。