使用Iptables构建Linux防火墙

《使用Iptables构建Linux防火墙》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、使用Iptables构建Linux防火墙相关参考文献Linux2.4PacketFilteringHOWTOLinux2.4NATHOWTO信息安全综合实验讲义LinuxKernel中的包过滤防火墙Ipfw/ipfwadm2.0.*中使用移植于BSD的ipfw缺点：包过滤、NAT等代码混杂在整个网络相关代码中Ipchains2.2.*中使用Netfilter/iptables2.4.*http://www.netfilter.org/模块化，支持状态跟踪Netfilter/iptables可以实现完整的基于连接跟踪的包过滤防

2、火墙支持包过滤，双向地址转换路由型Netfilter结构示意图filter内定规则链进来的数据包路由本机发出的数据包FORWARDINGINPUTOUTPUTnat中的内定规则链PREROUTING进来的数据包路由本机发出的数据包POSTROUTINGPREROUTING处理DNAT规则POSTROUTING处理SNAT规则连接的第一个数据包处理后会保持一些信息，用来在应答的数据包再次通过时修改数据包内容netfilter/iptablesNetfilter/iptablesNetfilter/iptablesNetfilt

3、er是Linuxkernel中对数据包进行处理的框架定义了5个HOOK位置NF_IP_PRE_ROUTINGNF_IP_LOCAL_INNF_IP_FORWARDNF_IP_POST_ROUTINGNF_IP_LOCAL_OUT包过滤防火墙规则条件动作序列条件源地址、目的地址、协议、端口、协议内部数据、时间、物理接口动作ACCEPT允许DROP直接丢弃REJECTtcp-reset/icmp-port-unreachableLOG日志包过滤防火墙有先后关系数据包的处理接收到数据包逐条对比规则如果满足条件，则进行相应的动作，如

4、果动作不是ACCEPT/DROP/REJECT，继续处理后面的规则Iptables防火墙配置包过滤INPUT/OUTPUT/FORWARD三个规则链可以增加自定义规则链iptables–Nxxx命令格式iptables–L–nv显示iptables–F规则链名清空规则链iptables–A规则链名规则增加规则iptables–I规则链名规则插入规则iptables–D规则链名规则删除规则iptables–D规则链名规则编号包过滤规则-j动作….条件动作为：ACCEPT接受数据包DROP丢弃数据包RETURN从当前规则链返回L

5、OG日志，用dmesg可以看到REJECTSNAT/DNAT等包过滤条件-sIP地址源地址-dIP地址目的地址-i接口名接收的接口-o接口名发送的接口-mstate--state状态状态包过滤ESTABLISHEDRELATEDNEWINVALID-ptcp/udp/icmp协议--dport目的端口（或者服务名称）--sport源端口源地址转换SNATNAT设备客户机服务器10.0.0.1:1024->202.38.64.2:8061.132.182.2:8133->202.38.64.2:8061.132.182.2:8

6、133<-202.38.64.2:8010.0.0.1:1024<-202.38.64.2:80内部网络外部网络源地址转换SNAT目的地址转换DNATNAT设备服务器客户机10.0.0.1:80<-202.38.64.2:102461.132.182.2:80<-202.38.64.2:102461.132.182.2:80->202.38.64.2:102410.0.0.1:80->202.38.64.2:1024内部网络外部网络目的地址转换DNATNAT配置iptables–tnatPREROUTING/FORWARD/

7、POSTROUTING三个规则链其他选项与包过滤类似-jSNAT--tox.x.x.x-jDNAT--tox.x.x.x组网实例组网实例与上图拓扑的区别？组网实例分析分别对应的功能？