返回
深入分析linux防火墙

深入分析linux防火墙

ID:9731167

大小:60.00 KB

页数:8页

时间:2018-05-06

深入分析linux防火墙_第1页
深入分析linux防火墙_第2页
深入分析linux防火墙_第3页
深入分析linux防火墙_第4页
深入分析linux防火墙_第5页
资源描述:

《深入分析linux防火墙》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、深入分析Linux防火墙~教育资源库  关于网络安全的研究分析中,防火墙(Fireangle表)  根据这三个功能,将上面的五个检查点按功能进行了分类。由于每个功能在NetFilter中对应一个表,而每个检查点又有若干个匹配规则,这些规则组成一个链,所以就有下面的说法:NetFilter是表的容器,表是链的容器,链是规则的容器  一个链(chain)其实就是众多规则(rules)中的一个检查清单(checklist)。每一条链中可以有一条或数条规则,每一条规则都是这样定义的如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包

2、到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件:如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略(policy)来处理该数据包。  而一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入,添加,删除,修改)、对特定规则的目标动作和匹配数据包条件。  基本的语法为:iptables-ttable-Operationchain-jtargetmatc

3、h(es)(系统缺省的表为filter)  基本操作如下:  -A在链尾添加一条规则  -I插入规则  -D删除规则  -R替代一条规则  -L列出规则  基本目标动作,适用于所有的链:  ACCEPT接收该数据包  DROP丢弃该数据包  QUEUE排队该数据包到用户空间  RETURN返回到前面调用的链  foobar用户自定义链  基本匹配条件,适用于所有的链:  -p指定协议(tcp/icmp/udp/...)  -s源地址(ipaddress/masklen)  -d目的地址(ipaddress/masklen)  -i数据

4、包输入接口  -o数据包输出接口  匹配条件扩展:  TCP-----匹配源端口,目的端口,及tcp标记的任意组合,tcp选项等。  UPD-----匹配源端口和目的端口  ICMP----匹配ICMP类型  MAC-----匹配接收到的数据的mac地址  MARK----匹配nfmark  OIT---匹配特定时间段内的数据包限制。这个扩展匹配对于限制dos攻击数据流非常有用。  STATE---匹配特定状态下的数据包(由连接跟踪子系统来决定状态),可能的状态包括:  INVALID(不匹配于任何连接)  ESTABLISHED(属

5、于某个已经建立的链接的数据包)  NEP错误消息或ftp数据连接)  TOS匹配IP头的TOS字段的值。  目标动作扩展:  LOG将匹配的数据包传递给syslog()进行记录  ULOG将匹配的数据适用用户空间的log进程进行记录  REJECT不仅仅丢弃数据包,同时返回给发送者一个可配置的错误信息  MIRROR互换源和目的地址以后重新传输该数据包  Ipchains是一种Linux下使用比较广泛的工具软件,可以实现数据包过滤的防火墙功能(Linux的内核为2.1及以上的内核版本都能够支持这个软件包)。这个软件包管理着对Linux

6、操作系统内核本身极为重要的那些IP帐户和防火墙功能。用户使用的内核必须已经在编译时激活ipchains功能;如果想掌握ipchains运行在哪一个层次,就必须在数据包级别上精通TCP/IP网络的数据传输情况。ipchains是一个数据包过滤器,即是一个用来检查数据包的信封内容的程序;同时,根据用户设定的一系列规则,还可以决定是否允许某些数据包通过和把它们发送到什么地方。  安装ipchains:首先下载或在光盘上找到它的rpm包,然后以root身份登录进入系统,敲入rpm-ivhipchains*的命令来安装ipcha123下一页友情

7、提醒:,特别!ins软件包。  配置ipchains的数据包过滤功能:首先依然以root用户身份登录进入系统,接着输入ipchains-L命令,查看当前已经存在的链。如果你还没有对这些选项进行过配置的话,应该会看到下面这样的几行:  >chaininput(policyACCEPT);  >chainfordash;它表示从192.168.152.0到192.168.152.255范围内的地址。  (3)主机名,比如:blue。  (4)完整的域名,比如:blue.cdors.org。  (5)某个IP地址范围,要使用IP

8、地址和网络屏蔽码(mask)认真地构造之。  我们这个示例的目标是只允许从三台特定的机器上接入远程登录服务,它们的IP地址是192.156.12.1到192.156.12.3。表示这个地址范围的IP地址和网络屏蔽码组合是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。