linux 防火墻 （一）

1、linux 防火墻 （一）iptables和netfilter之間的區(qū)分：后者提供了一個(gè)框架，前者是在這個(gè)框架上面建立了防火墻功能。 netfilter本身并不對(duì)數(shù)據(jù)包舉行過(guò)濾-它只是允許可以對(duì)數(shù)據(jù)包舉行過(guò)濾的函數(shù)掛接到內(nèi)核中核實(shí)的位置，還在內(nèi)核中提供了一些基礎(chǔ)設(shè)施，如鏈接跟蹤和日志記錄，任何iptables策略都可以用法這些設(shè)施來(lái)執(zhí)行特定的數(shù)據(jù)包處理（我們把netiptables日志記錄子系統(tǒng)產(chǎn)生的日志信息稱(chēng)為iptables日志信息，究竟惟獨(dú)當(dāng)數(shù)據(jù)包首先匹配一個(gè)由iptables構(gòu)建的log規(guī)章時(shí)，該數(shù)據(jù)包信息被記錄） 1.2 用法iptables舉行包過(guò)濾 iptables有5個(gè)鏈：pe

2、routing,input,forword,output,postrouting 4張表：raw,mangle,nat,filter(優(yōu)先級(jí)也為這個(gè)挨次) perouting鏈?zhǔn)菙?shù)據(jù)包進(jìn)入防火墻后，路由推斷前轉(zhuǎn)變數(shù)據(jù)包 postrouting鏈?zhǔn)窃谌柯酚赏茢嘀?，轉(zhuǎn)變數(shù)據(jù)包 output鏈在確定包的目的之前轉(zhuǎn)變數(shù)據(jù)包 input鏈在包被路由到本地后，但在用戶(hù)的空間程序看到之前轉(zhuǎn)變數(shù)據(jù)包 forward鏈在最初的路由推斷之后，最后一次更改包的目的之前mangle數(shù)據(jù)包 舉個(gè)例子，input鏈上既有raw表，也有nat表，那么先有raw表處理，然后由nat表處理。 a：raw表只用法在perou

3、ting鏈和output鏈，由于優(yōu)先級(jí)最高，因而可以對(duì)收到的數(shù)據(jù)包在鏈接跟蹤前舉行處理。一旦用戶(hù)用法raw表在某個(gè)鏈上，raw表處理完后，將跳過(guò)nat表和ip_connack處理，即不再對(duì)地址轉(zhuǎn)換和數(shù)據(jù)包的鏈接跟蹤處理，raw表可以用在那些不需要做nat的狀況下，以提高性能，如大量拜訪(fǎng)的web服務(wù)器，可以讓80端口不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理，以提高用戶(hù)的拜訪(fǎng)速度，執(zhí)行如下命令即可 iptables -t raw -a prerouting -p t -dport 80 -j notrack iptables -t raw -a prerouting -p tcp -sport

4、 80 -j notrack iptables -a forward -m e -state untracked -j accept b：mangle表，我們可以轉(zhuǎn)變不同的包以及包頭的內(nèi)容，比如ttl,tos或mark，注重：mark并沒(méi)有真正的轉(zhuǎn)變數(shù)據(jù)包，它只是在內(nèi)核空間中為包設(shè)定一個(gè)標(biāo)志，防火墻內(nèi)其他規(guī)章或程序可以用法這種標(biāo)志對(duì)包舉行過(guò)濾或高級(jí)路由。注重：mangle表不做任何nat，它只是轉(zhuǎn)變數(shù)據(jù)包的ttl，tos或mark，而不是源目的地址，不常用，主要用來(lái)打標(biāo)志，且用于本地 iptables和鏈接跟蹤： iptables包括一個(gè)模塊，它允許管理員用法 鏈接跟蹤（connection

5、tracking） 辦法來(lái)檢查和限制到內(nèi)部網(wǎng)絡(luò)中可用服務(wù)的鏈接，鏈接跟蹤把全部的鏈接都保存在一張表格內(nèi)，它令管理員能夠按照以下鏈接狀態(tài)來(lái)允許或否決鏈接： new： 哀求新銜接的分組 established：屬于當(dāng)前銜接的一部分的分組 related： 哀求新銜接的分組，但他也是當(dāng)前銜接的一部分 invalid： 不屬于銜接跟蹤表內(nèi)任何銜接的分組 1.2.1 匹配 惟獨(dú)當(dāng)數(shù)據(jù)包滿(mǎn)足全部匹配的條件時(shí)，iptables才干按照由該規(guī)章的目標(biāo)所指定的動(dòng)作，來(lái)處理這些數(shù)據(jù)包 -s 匹配源ip地址或網(wǎng)絡(luò) -d 匹配目標(biāo)ip地址或網(wǎng)絡(luò) -p 匹配ip協(xié)議 -i 流入接口 -o 流出接口 -state 匹配一

6、組銜接狀態(tài) -string 匹配應(yīng)用層數(shù)據(jù)字節(jié)序列 -comment 在一個(gè)內(nèi)核內(nèi)存中為一個(gè)規(guī)章關(guān)聯(lián)多達(dá)256個(gè)字節(jié)的注釋數(shù)據(jù) 1.2.2 目標(biāo) iptables支持一組目標(biāo)，他們用于數(shù)據(jù)包匹配一條規(guī)章時(shí)觸發(fā)一個(gè)動(dòng)作。頻繁的重要目標(biāo)： accept：允許數(shù)據(jù)包通過(guò) drop： 丟棄數(shù)據(jù)包，不對(duì)該數(shù)據(jù)包做進(jìn)一步處理 log： 將數(shù)據(jù)包信息記錄到syslog reject：丟棄數(shù)據(jù)包，同時(shí)發(fā)送適當(dāng)?shù)捻憫?yīng)報(bào)文 return：在調(diào)用鏈中繼續(xù)處理數(shù)據(jù)包 1.3 iptables的安裝 盡管許多l(xiāng)inux發(fā)行版自帶的預(yù)編譯內(nèi)核已經(jīng)將iptables編譯進(jìn)去，但默認(rèn)的內(nèi)核配置卻試圖保持精簡(jiǎn)，所以并不是全部的netfilter子系統(tǒng)都被啟用，因此了解重新編譯內(nèi)核的過(guò)程是十分重要的。 建立一個(gè)可以作為iptables防火墻的所需的最重要的步驟是正確的配置和編譯linux內(nèi)核，iptables中全部繁重的網(wǎng)絡(luò)處理