linux 防火墻 （一）

1、linux 防火墻 （一）iptables和netfilter之間的區(qū)分：后者提供了一個框架，前者是在這個框架上面建立了防火墻功能。 netfilter本身并不對數(shù)據(jù)包舉行過濾-它只是允許可以對數(shù)據(jù)包舉行過濾的函數(shù)掛接到內(nèi)核中核實的位置，還在內(nèi)核中提供了一些基礎設施，如鏈接跟蹤和日志記錄，任何iptables策略都可以用法這些設施來執(zhí)行特定的數(shù)據(jù)包處理（我們把netiptables日志記錄子系統(tǒng)產(chǎn)生的日志信息稱為iptables日志信息，究竟惟獨當數(shù)據(jù)包首先匹配一個由iptables構建的log規(guī)章時，該數(shù)據(jù)包信息被記錄） 1.2 用法iptables舉行包過濾 iptables有5個鏈：pe

2、routing,input,forword,output,postrouting 4張表：raw,mangle,nat,filter(優(yōu)先級也為這個挨次) perouting鏈是數(shù)據(jù)包進入防火墻后，路由推斷前轉(zhuǎn)變數(shù)據(jù)包 postrouting鏈是在全部路由推斷之后，轉(zhuǎn)變數(shù)據(jù)包 output鏈在確定包的目的之前轉(zhuǎn)變數(shù)據(jù)包 input鏈在包被路由到本地后，但在用戶的空間程序看到之前轉(zhuǎn)變數(shù)據(jù)包 forward鏈在最初的路由推斷之后，最后一次更改包的目的之前mangle數(shù)據(jù)包 舉個例子，input鏈上既有raw表，也有nat表，那么先有raw表處理，然后由nat表處理。 a：raw表只用法在perou

3、ting鏈和output鏈，由于優(yōu)先級最高，因而可以對收到的數(shù)據(jù)包在鏈接跟蹤前舉行處理。一旦用戶用法raw表在某個鏈上，raw表處理完后，將跳過nat表和ip_connack處理，即不再對地址轉(zhuǎn)換和數(shù)據(jù)包的鏈接跟蹤處理，raw表可以用在那些不需要做nat的狀況下，以提高性能，如大量拜訪的web服務器，可以讓80端口不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理，以提高用戶的拜訪速度，執(zhí)行如下命令即可 iptables -t raw -a prerouting -p t -dport 80 -j notrack iptables -t raw -a prerouting -p tcp -sport

4、 80 -j notrack iptables -a forward -m e -state untracked -j accept b：mangle表，我們可以轉(zhuǎn)變不同的包以及包頭的內(nèi)容，比如ttl,tos或mark，注重：mark并沒有真正的轉(zhuǎn)變數(shù)據(jù)包，它只是在內(nèi)核空間中為包設定一個標志，防火墻內(nèi)其他規(guī)章或程序可以用法這種標志對包舉行過濾或高級路由。注重：mangle表不做任何nat，它只是轉(zhuǎn)變數(shù)據(jù)包的ttl，tos或mark，而不是源目的地址，不常用，主要用來打標志，且用于本地 iptables和鏈接跟蹤： iptables包括一個模塊，它允許管理員用法 鏈接跟蹤（connection

5、tracking） 辦法來檢查和限制到內(nèi)部網(wǎng)絡中可用服務的鏈接，鏈接跟蹤把全部的鏈接都保存在一張表格內(nèi)，它令管理員能夠按照以下鏈接狀態(tài)來允許或否決鏈接： new： 哀求新銜接的分組 established：屬于當前銜接的一部分的分組 related： 哀求新銜接的分組，但他也是當前銜接的一部分 invalid： 不屬于銜接跟蹤表內(nèi)任何銜接的分組 1.2.1 匹配 惟獨當數(shù)據(jù)包滿足全部匹配的條件時，iptables才干按照由該規(guī)章的目標所指定的動作，來處理這些數(shù)據(jù)包 -s 匹配源ip地址或網(wǎng)絡 -d 匹配目標ip地址或網(wǎng)絡 -p 匹配ip協(xié)議 -i 流入接口 -o 流出接口 -state 匹配一

6、組銜接狀態(tài) -string 匹配應用層數(shù)據(jù)字節(jié)序列 -comment 在一個內(nèi)核內(nèi)存中為一個規(guī)章關聯(lián)多達256個字節(jié)的注釋數(shù)據(jù) 1.2.2 目標 iptables支持一組目標，他們用于數(shù)據(jù)包匹配一條規(guī)章時觸發(fā)一個動作。頻繁的重要目標： accept：允許數(shù)據(jù)包通過 drop： 丟棄數(shù)據(jù)包，不對該數(shù)據(jù)包做進一步處理 log： 將數(shù)據(jù)包信息記錄到syslog reject：丟棄數(shù)據(jù)包，同時發(fā)送適當?shù)捻憫獔笪?return：在調(diào)用鏈中繼續(xù)處理數(shù)據(jù)包 1.3 iptables的安裝 盡管許多l(xiāng)inux發(fā)行版自帶的預編譯內(nèi)核已經(jīng)將iptables編譯進去，但默認的內(nèi)核配置卻試圖保持精簡，所以并不是全部的netfilter子系統(tǒng)都被啟用，因此了解重新編譯內(nèi)核的過程是十分重要的。 建立一個可以作為iptables防火墻的所需的最重要的步驟是正確的配置和編譯linux內(nèi)核，iptables中全部繁重的網(wǎng)絡處理