linux防火墻過(guò)濾規(guī)則_第1頁(yè)
linux防火墻過(guò)濾規(guī)則_第2頁(yè)
linux防火墻過(guò)濾規(guī)則_第3頁(yè)
linux防火墻過(guò)濾規(guī)則_第4頁(yè)
linux防火墻過(guò)濾規(guī)則_第5頁(yè)
已閱讀5頁(yè),還剩3頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、一、linux防火墻基礎(chǔ)防火墻分為硬件防火墻和軟件防火墻。1.概述linux 防火墻體系主要工作在網(wǎng)絡(luò)層,針對(duì)TCP/IP數(shù)據(jù)包實(shí)施過(guò)濾和限制,屬于典型的包過(guò)濾防火墻。包過(guò)濾機(jī)制:netfilter管理防火墻規(guī)則命令工具:iptablesnetfilter 指linux內(nèi)核中實(shí)現(xiàn)包過(guò)濾防火墻的內(nèi)部結(jié)構(gòu),不依程序或文件的形式存在,屬于“內(nèi)核態(tài)”的防火墻功能體系iptables 指管理linux防火墻的命令工具,屬于“用戶態(tài)”的防火墻管理體系2.iptables的規(guī)則表、鏈結(jié)構(gòu)iptables的作用在于為包過(guò)濾機(jī)制的實(shí)現(xiàn)提供規(guī)則,通過(guò)不同的規(guī)則作出不同的反應(yīng).iptables管理4個(gè)表、以及他們的

2、規(guī)則鏈   filter,用于路由網(wǎng)絡(luò)數(shù)據(jù)包。INPUT 網(wǎng)絡(luò)數(shù)據(jù)包流向服務(wù)器OUTPUT 網(wǎng)絡(luò)數(shù)據(jù)包從服務(wù)器流出FORWARD 網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)服務(wù)器路由   nat,用于NAT表.NAT(Net Address Translation 是一種IP地址轉(zhuǎn)換方法。PREROUTING 網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)服務(wù)器時(shí)可以被修改POSTROUTING 網(wǎng)絡(luò)數(shù)據(jù)包在即將從服務(wù)器發(fā)出時(shí)可以被修改OUTPUT 網(wǎng)絡(luò)數(shù)據(jù)包流出服務(wù)器   mangle,用于修改網(wǎng)絡(luò)數(shù)據(jù)包的表,如TOS(Type Of Service,TTL(Time To Live,等INP

3、UT 網(wǎng)絡(luò)數(shù)據(jù)包流向服務(wù)器OUTPUT 網(wǎng)絡(luò)數(shù)據(jù)包流出服務(wù)器FORWARD 網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)由服務(wù)器轉(zhuǎn)發(fā)PREROUTING 網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)服務(wù)器時(shí)可以被修改POSTROUTING 網(wǎng)絡(luò)數(shù)據(jù)包在即將從服務(wù)器發(fā)出時(shí)可以被修改   raw, 用于決定數(shù)據(jù)包是否被跟蹤機(jī)制處理OUTPUT 網(wǎng)絡(luò)數(shù)據(jù)包流出服務(wù)器PREROUTING 網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)服務(wù)器時(shí)可以被修改3.數(shù)據(jù)包過(guò)濾匹配流程1>.規(guī)則表之間的優(yōu)先順序依次應(yīng)用:raw、mangle、nat、filter表2>.規(guī)則鏈之間的優(yōu)先順序入站數(shù)據(jù)流向轉(zhuǎn)發(fā)數(shù)據(jù)流向出站數(shù)據(jù)流向3>.規(guī)則鏈內(nèi)部各條防火墻規(guī)則之間的優(yōu)先順序

4、 二、管理和配置Iptables規(guī)則1.iptables的基本語(yǔ)法格式iptables -t 表名 命令選項(xiàng) 鏈名 條件匹配 - 目標(biāo)動(dòng)作或跳轉(zhuǎn)表名鏈名用于指定iptables命令所做對(duì)象,未指定默認(rèn)filter表,命令選項(xiàng)指于管理iptables規(guī)則的方式(插入、刪除··);條件匹配指定對(duì)條件的符合而處理;目標(biāo)動(dòng)作或跳轉(zhuǎn)指定數(shù)據(jù)包的處理方式。2.管理iptables規(guī)則控制選項(xiàng)  -A 在鏈尾添加一條規(guī)則-D 從鏈中刪除一條規(guī)則  -I 在鏈中插入一條規(guī)則  -R 修改、替換某鏈的某規(guī)則 &#

5、160;-L 列出某個(gè)鏈上的規(guī)則  -F 清空鏈,刪除鏈上的所有規(guī)則  -N 創(chuàng)建一個(gè)新鏈  -X 刪除某個(gè)規(guī)則鏈  -P 定義某個(gè)鏈的默認(rèn)策略       -n 數(shù)字形式顯示結(jié)果  -v 查看規(guī)則列表詳細(xì)信息  -V 查看iptables命令工具版本  -h 查看命令幫助信息  -line-numbers 查看規(guī)則列表,顯示順序號(hào)增加、插入、刪除和替換規(guī)則相關(guān)規(guī)則定義的格式為:ipta

6、bles  -t表名  <-A | I | D | R> 鏈名 規(guī)則編號(hào) -i | o 網(wǎng)卡名稱 -p 協(xié)議類型 -s 源IP地址 | 源子網(wǎng) -sport 源端口號(hào) -d目標(biāo)IP地址 | 目標(biāo)子網(wǎng) -dport目標(biāo)端口號(hào) <-j動(dòng)作>參數(shù)說(shuō)明如下。-t表名:定義默認(rèn)策略將應(yīng)用于哪個(gè)表,可以使用filter、nat和mangle,如果沒(méi)有指定使用哪個(gè)表,iptables就默認(rèn)使用filter表。-A:新增加一條規(guī)則,該規(guī)則將會(huì)增加到規(guī)則列表的最后一行,該參數(shù)不能使用規(guī)則編號(hào)。-I:插入一條規(guī)則,原本該位置上的規(guī)則將會(huì)往后順序移動(dòng),如果沒(méi)有指定規(guī)則編號(hào)

7、,則在第一條規(guī)則前插入。-D:從規(guī)則列表中刪除一條規(guī)則,可以輸入完整規(guī)則,或直接指定規(guī)則編號(hào)加以刪除。-R:替換某條規(guī)則,規(guī)則被替換并不會(huì)改變順序,必須要指定替換的規(guī)則編號(hào)。<鏈名>:指定查看指定表中哪個(gè)鏈的規(guī)則列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。規(guī)則編號(hào):規(guī)則編號(hào)用于插入、刪除和替換規(guī)則時(shí)用,編號(hào)是按照規(guī)則列表的順序排列,規(guī)則列表中第一條規(guī)則的編號(hào)為1。-i | o 網(wǎng)卡名稱:i是指定數(shù)據(jù)包從哪塊網(wǎng)卡進(jìn)入,o是指定數(shù)據(jù)包從哪塊網(wǎng)卡輸出。網(wǎng)卡名稱可以使用ppp0、eth0和eth1等。-p 協(xié)議類型:可

8、以指定規(guī)則應(yīng)用的協(xié)議,包含TCP、UDP和ICMP等。-s 源IP地址 | 源子網(wǎng):源主機(jī)的IP地址或子網(wǎng)地址。-sport 源端口號(hào):數(shù)據(jù)包的IP的源端口號(hào)。-d目標(biāo)IP地址 | 目標(biāo)子網(wǎng):目標(biāo)主機(jī)的IP地址或子網(wǎng)地址。-dport目標(biāo)端口號(hào):數(shù)據(jù)包的IP的目標(biāo)端口號(hào)。 <-j動(dòng)作>:處理數(shù)據(jù)包的動(dòng)作,各個(gè)動(dòng)作的詳細(xì)說(shuō)明可以參考表10-3。 1>.添加及插入規(guī)則   在Filter表的INPUT鏈的末尾添加一條防護(hù)墻規(guī)則roots2 # iptables -t filter -A INPUT -p tcp -j ACCEPT 

9、;  在Filter表的INPUT鏈中插入一條防護(hù)墻規(guī)則roots2 # iptables -I INPUT -p udp -j ACCEPT   在在Filter表的INPUT鏈中插入一條防護(hù)墻規(guī)則(為鏈中第二條規(guī)則)roots2 # iptables -I INPUT 2 -p icmp -j ACCEPT2>.查看規(guī)則表   查看Filter表的INPUT鏈中的所有規(guī)則,同時(shí)顯示順序號(hào)roots2 # iptables -L INPUT -line-numbersChain INPUT (policy ACCEPTnum  

10、;target     prot opt source               destination         1    ACCEPT     udp  -  anywhere             anywhere            2   

11、0;ACCEPT     icmp -  anywhere             anywhere            3    REJECT     icmp -  anywhere             anywhere     查看filter表各鏈中所有規(guī)則的詳細(xì)信息,以數(shù)字形式顯示地址和端口信

12、息roots2 # iptables -vnLChain INPUT (policy ACCEPT 0 packets, 0 bytes pkts bytes target     prot opt in     out     source               destination         3>.刪除、清空規(guī)則   刪除Filter表的INPUT鏈中的第2條規(guī)則

13、roots2 # iptables -D INPUT 2   清空f(shuō)ilter表、nat表、mangle表各鏈中的所有規(guī)則roots2 # iptables -Froots2 # iptables -t nat -Froots2 # iptables -t mangle -F4>.設(shè)置規(guī)則鏈的默認(rèn)策略最基本的兩種策略為ACCEPT(允許)、DROP(丟棄)   將filter表中的FORWARD規(guī)則鏈的默認(rèn)策略設(shè)為 DROProots2 # iptables -t filter -P FORWARD DROP   將filter

14、表中的 OUTPUT規(guī)則鏈的默認(rèn)策略設(shè)為 ACCEPTroots2 # iptables -P OUTPUT ACCEPT5>.獲得iptables相關(guān)選項(xiàng)用法的幫助信息   查看iptables命令中關(guān)于icmp協(xié)議的信息roots2 # iptables -p icmp -h6>.新增、刪除自定義規(guī)則鏈   清空raw表中自定義的所有規(guī)則鏈roots2 # iptables -t raw -X3.條件匹配1>.通用條件匹配一般直接使用,而不依賴于其他的條件匹配及其擴(kuò)展。常見(jiàn)匹配方式如下:協(xié)議匹配:用于檢查數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議拒絕進(jìn)入防火

15、墻的所有icmp協(xié)議數(shù)據(jù)包roots2 # iptables -I INPUT -p icmp -j REJECT允許防火墻轉(zhuǎn)發(fā)除icmp協(xié)議以外的所有數(shù)據(jù)包(“!”反取)roots2 # iptables -A FORWARD -p ! icmp -j ACCEPTroots2 # iptables -L FORWARDChain FORWARD (policy DROPtarget     prot opt source               destination    

16、    ACCEPT    !icmp -  anywhere             anywhere    地址匹配:用于檢查數(shù)據(jù)包的IP地址、網(wǎng)絡(luò)地址。網(wǎng)絡(luò)接口匹配:用于檢查數(shù)據(jù)包從防火墻的哪個(gè)接口進(jìn)入或離開丟棄從外網(wǎng)接口(eth1)進(jìn)入防火墻本機(jī)的源地址為私網(wǎng)地址的數(shù)據(jù)包封堵IP地址段!并2小時(shí)后解鎖roots2 # at now +2 hoursat> iptables -D INPUT 1at> iptables -D FORWAR

17、D 1at> job 1 at 2010-04-25 17:432>.隱含條件匹配通常需要以指定的協(xié)議匹配為前提,對(duì)應(yīng)功能由iptables自動(dòng)裝載內(nèi)核。常見(jiàn)的隱含匹配方式如下:端口匹配:用于檢查數(shù)據(jù)包的TCP或UDP端口號(hào)roots2 # iptables -A INPUT -p tcp -dport 22 -j DROP允許本機(jī)開放TCP端口的 20 1024 提供的應(yīng)用服務(wù)roots2 # iptables -A INPUT -p tcp -dport 20:1024 -j ACCEPTroots2 # iptables -A OUTPUT -p tcp -sport 20:

18、1024 -j ACCEPTTCP標(biāo)記匹配:用于檢查數(shù)據(jù)包的TCP標(biāo)記位拒絕從外網(wǎng)接口(eth1)直接訪問(wèn)防火墻本機(jī)的數(shù)據(jù)包,但允許響應(yīng)防火墻TCP請(qǐng)求的數(shù)據(jù)包進(jìn)入roots2 # iptables -P INPUT DROProots2 # iptables -I INPUT -i eth1 -p tcp -tcp-flags SYN, RST, ACK SYN -j REJECTroots2 # iptables -I INPUT -i eth1 -p tcp -tcp-flags ! -syn -j ACCEPTICMP類型匹配:用于檢查ICMP數(shù)據(jù)包禁止其他主機(jī)ping防火墻主機(jī),但是

19、允許防火墻能ping其他主機(jī)roots2 # iptables -A INPUT -p icmp -icmp-type Echo-Request -j DROProots2 # iptables -A INPUT -p icmp -icmp-type Echo-Reply -j ACCEPTroots2 # iptables -A INPUT -p icmp -icmp-type destination-Unreachable -j ACCEPT顯示條件匹配:需要額外的內(nèi)核模塊提供,因此需要手工指定匹配方式MAC地址匹配:主要檢查數(shù)據(jù)包的源MAC地址roots2 # iptables -A FOR

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論