欢迎来到天天文库
浏览记录
ID:47114934
大小:315.50 KB
页数:14页
时间:2019-08-06
《Linux 防火墙入门》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Linux防火墙概述☆Linux系统的防火墙功能是由内核实现的●2.0版内核中,包过滤机制是ipfw,管理工具是ipfwadm●2.2版内核中,包过滤机制是ipchain,管理工具是ipchains●2.4版及以后的内核中,包过滤机制是netfilter,管理工具是iptables☆netfilter●位于Linux内核中的包过滤防火墙功能体系●称为Linux防火墙的“内核态”☆iptables●位于/sbin/iptables,是用来管理防火墙的命令工具●为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包●称为Linux防火墙的“用户态”——习惯上,上述
2、2种称呼都可以代表Linux防火墙☆包过滤防火墙工作在TCP/IP的网络层链路层网络层传输层应用代理上层程序链路层网络层传输层应用层客户程序链路层网络层传输层应用层服务程序外部网络网络层防火墙受保护网络iptables的规则表、链结构☆规则链●规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则被组织在不同的“链”中规则链是防火墙规则/策略的集合默认的5种规则链:●INPUT:处理入站数据包●OUTPUT:处理出站数据包●FORWARD:处理转发数据包●POSTROUTING链:在进行路由选择后处理数据包●PREROUTING链:在进行路由选择前处理数据包ipta
3、bles规则链示意图:Prerouting城门入口Forward街道Postrouting城门出口Input皇宫入口Output皇宫出口皇宫●以上主要是介绍规则链的概念,并分别举例说明5种规则链的作用:●INPUT链用于处理访问防火墙本机的数据,OUTPUT链用于处理防火墙本机访问其他主机的数据●FORWARD链用于处理需要经过防火墙转发的数据包,源地址、目标地址均不是防火墙本机●POSTROUTING、PREROUTING链分别用于在确定路由后、确定路由前对数据包进行处理●在“主机防火墙”中,主要针对服务器本机进出的数据实施控制,多以INPUT、OUTPUT链的应用为主●在“
4、网络防火墙”中,主要针对数据转发实施控制,特别是防火墙主机作为网关使用时的情况,因此多以FORWARD、PREROUTING、POSTROUTING链的应用为主☆规则表●具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的“表”中●规则表是规则链的集合默认的4个规则表:●raw表:确定是否对该数据包进行状态跟踪●mangle表:为数据包设置标记●nat表:修改数据包中的源、目标IP地址或端口●filter表:确定是否放行该数据包(过滤)每个规则表包含的规则链:还可以使用iptables查看每个规则表内包含的规则链[root@server~]#i
5、ptables-L-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination这些都是系统默认自带的规则链,也可以用户自定义一些规则链●以上主要介绍规则表的概念、作用,并分别举例说明4个规则表的作用,并强调filter表、nat表是最常用的、也是我们的学习重点●mangle表可以对数据
6、包进行特殊标记,结合这些标记可以在filter表中对数据包进行有选择性的处理(如“策略路由”,举个例子,网关主机有两条ADSL线路,分别使用网通、电信的接口,可以将访问网通服务器的数据交给网通ADSL接口,而访问电信服务器的数据交给电信ADSL接口)●raw表是自1.2.9以后版本的iptables新增的表,主要用于决定数据包是否被状态跟踪机制处理,目前raw表中的应用尚不多见数据包过滤匹配流程☆规则表间的优先顺序●依次为:raw、mangle、nat、filter☆规则链间的匹配顺序●入站数据:PREROUTING、INPUT●出站数据:OUTPUT、POSTROUTING●
7、转发数据:PREROUTING、FORWARD、POSTROUTING☆规则链内的匹配顺序●按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外)●若在该链内找不到相匹配的规则,则按该链的默认策略处理其中加粗的链为最常用的几个规则链,包括:filter表的INPUT、OUTPUT、FORWARD链;nat表的PREROUTING、POSTROUTING链入站数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断
此文档下载收益归作者所有