Linux操作系統(tǒng):17防火墻基本設(shè)置_第1頁
Linux操作系統(tǒng):17防火墻基本設(shè)置_第2頁
Linux操作系統(tǒng):17防火墻基本設(shè)置_第3頁
Linux操作系統(tǒng):17防火墻基本設(shè)置_第4頁
Linux操作系統(tǒng):17防火墻基本設(shè)置_第5頁
已閱讀5頁,還剩20頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

第十七章防火墻基本設(shè)置1本章內(nèi)容Linux下防火墻的基本設(shè)置主機(jī)防火墻NAT網(wǎng)絡(luò)地址轉(zhuǎn)換2Linux防火墻概述Linux系統(tǒng)的防火墻功能是由內(nèi)核實現(xiàn)的2.0版內(nèi)核中,包過濾機(jī)制是ipfw,管理工具是ipfwadm2.2版內(nèi)核中,包過濾機(jī)制是ipchain,管理工具是ipchains2.4版及以后的內(nèi)核中,包過濾機(jī)制是netfilter,管理工具是iptables3Linux防火墻概述netfilter位于Linux內(nèi)核中的包過濾防火墻功能體系稱為Linux防火墻的“內(nèi)核態(tài)”iptables位于/sbin/iptables,是用來管理防火墻的命令工具為防火墻體系提供過濾規(guī)則/策略,決定如何過濾或處理到達(dá)防火墻主機(jī)的數(shù)據(jù)包稱為Linux防火墻的“用戶態(tài)”——習(xí)慣上,上述2種稱呼都可以代表Linux防火墻4Linux防火墻概述包過濾防火墻工作在TCP/IP的網(wǎng)絡(luò)層鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用代理上層程序鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層客戶程序鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層服務(wù)程序外部網(wǎng)絡(luò)網(wǎng)絡(luò)層防火墻受保護(hù)網(wǎng)絡(luò)5防火墻配置直接在終端中輸入“system-config-firewall”命令,打開防火墻配置窗口6防火墻配置直接在終端中輸入“system-config-firewall-tui”命令7使用iptables命令進(jìn)行策略設(shè)置iptables命令是對防火墻配置管理的核心命令iptables命令提供了豐富的功能,可以對Linux內(nèi)核中的netfilter防火墻進(jìn)行各種策略的設(shè)置iptables命令的設(shè)置在系統(tǒng)中是即時生效的使用iptables命令手工進(jìn)行的防火墻策略設(shè)置如果不進(jìn)行保存將在系統(tǒng)下次啟動時丟失8使用iptables-save命令保存設(shè)置iptables-save命令提供了防火墻配置的保存功能iptables-save命令缺省只將配置信息顯示到標(biāo)準(zhǔn)輸出(屏幕)中#iptables-save如果需要將iptables-save命令的輸出保存,需要將命令輸出結(jié)果重定向到指定的文件中#iptables-save>ipt.v1.0使用iptables-save命令可以將多個版本的配置保存到不同的文件中9使用iptables腳本保存防火墻設(shè)置iptables腳本可以保存當(dāng)前防火墻配置在保存防火墻當(dāng)前配置前應(yīng)先將原有配置進(jìn)行備份#cp/etc/sysconfig/iptablesiptables.raw

iptables腳本的save命令可以保存防火墻配置#serviceiptablessave

配置內(nèi)容將保存在“/etc/sysconfig/iptables”文件中,文件原有的內(nèi)容將被覆蓋10iptables的規(guī)則表、鏈結(jié)構(gòu)規(guī)則鏈規(guī)則的作用在于對數(shù)據(jù)包進(jìn)行過濾或處理,根據(jù)處理時機(jī)的不同,各種規(guī)則被組織在不同的“鏈”中規(guī)則鏈?zhǔn)欠阑饓σ?guī)則/策略的集合默認(rèn)的5種規(guī)則鏈INPUT:處理入站數(shù)據(jù)包OUTPUT:處理出站數(shù)據(jù)包FORWARD:處理轉(zhuǎn)發(fā)數(shù)據(jù)包POSTROUTING鏈:在進(jìn)行路由選擇后處理數(shù)據(jù)包PREROUTING鏈:在進(jìn)行路由選擇前處理數(shù)據(jù)包11iptables的規(guī)則表、鏈結(jié)構(gòu)規(guī)則表具有某一類相似用途的防火墻規(guī)則,按照不同處理時機(jī)區(qū)分到不同的規(guī)則鏈以后,被歸置到不同的“表”中規(guī)則表是規(guī)則鏈的集合默認(rèn)的4個規(guī)則表raw表:確定是否對該數(shù)據(jù)包進(jìn)行狀態(tài)跟蹤mangle表:為數(shù)據(jù)包設(shè)置標(biāo)記nat表:修改數(shù)據(jù)包中的源、目標(biāo)IP地址或端口filter表:確定是否放行該數(shù)據(jù)包(過濾)12iptables的規(guī)則表、鏈結(jié)構(gòu)iptables

防火墻默認(rèn)的規(guī)則表、鏈結(jié)構(gòu)filter表第1條規(guī)則

第2條規(guī)則

第3條規(guī)則

……INPUT鏈……FORWARD鏈……OUTPUT鏈mangle表PREROUTING鏈……POSTROUTING鏈……INPUT鏈……OUTPUT鏈……FORWARD鏈……raw表PREROUTING鏈……OUTPUT鏈……nat表PREROUTING鏈……POSTROUTING鏈……OUTPUT鏈……13數(shù)據(jù)包過濾匹配流程規(guī)則表間的優(yōu)先順序依次為:raw、mangle、nat、filter規(guī)則鏈間的匹配順序入站數(shù)據(jù):PREROUTING、INPUT出站數(shù)據(jù):OUTPUT、POSTROUTING轉(zhuǎn)發(fā)數(shù)據(jù):PREROUTING、FORWARD、POSTROUTING規(guī)則鏈內(nèi)的匹配順序按順序依次進(jìn)行檢查,找到相匹配的規(guī)則即停止(LOG策略會有例外)若在該鏈內(nèi)找不到相匹配的規(guī)則,則按該鏈的默認(rèn)策略處理14數(shù)據(jù)包過濾匹配流程本機(jī)的應(yīng)用進(jìn)程mangle:POSTROUTINGmangle:FORWARDraw:PREROUTINGraw:OUTPUTmangle:INPUT轉(zhuǎn)發(fā)數(shù)據(jù)流向出站數(shù)據(jù)流向入站數(shù)據(jù)流向網(wǎng)絡(luò)A網(wǎng)絡(luò)Bmangle:PREROUTINGnat:PREROUTINGnat:POSTROUTINGfilter:INPUTmangle:OUTPUTnat:OUTPUTfilter:OUTPUTfilter:FORWARD路

擇路

擇15管理和設(shè)置iptables規(guī)則iptables命令的語法格式iptables[-t表名]管理選項[鏈名][條件匹配][-j目標(biāo)動作或跳轉(zhuǎn)]幾個注意事項不指定表名時,默認(rèn)表示filter表不指定鏈名時,默認(rèn)表示該表內(nèi)所有鏈除非設(shè)置規(guī)則鏈的缺省策略,否則需要指定匹配條件16iptables命令的管理選項設(shè)置規(guī)則內(nèi)容:

-A:在鏈尾追加一條新的規(guī)則

-I:在指定位置(或鏈?zhǔn)祝┎迦胍粭l新的規(guī)則

-R:修改、替換指定位置或內(nèi)容的規(guī)則

-P:設(shè)置指定鏈的默認(rèn)策略列表查看規(guī)則-L:列表查看各條規(guī)則信息--line-numbers:查看規(guī)則信息時顯示規(guī)則的行號-n:以數(shù)字形式顯示IP地址、端口等信息-v:顯示數(shù)據(jù)包個數(shù)、字節(jié)數(shù)等詳細(xì)信息[root@localhost~]#iptables-tfilter-AINPUT-ptcp-jACCEPT[root@localhost~]#iptables

-IINPUT-pudp-jACCEPT[root@localhost~]#iptables

-IINPUT2-picmp-jACCEPT[root@localhost~]#iptables

-PINPUTDROP[root@localhost~]#iptables

-LINPUT--line-numbersChainINPUT(policyDROP)numtargetprotoptsourcedestination1ACCEPTudp--anywhereanywhere2ACCEPTicmp--anywhereanywhere3ACCEPTtcp--anywhereanywhere17iptables命令的管理選項清除規(guī)則-D:刪除指定位置或內(nèi)容的規(guī)則-F:清空規(guī)則鏈內(nèi)的所有規(guī)則自定義規(guī)則鏈-N:創(chuàng)建一條新的規(guī)則鏈-X:刪除自定義的規(guī)則鏈其他-h:查看iptables命令的使用幫助[root@localhost~]#iptables

-DINPUT2[root@localhost~]#iptables

-F[root@localhost~]#iptables-tnat

-F

[root@localhost~]#iptables-traw-N

TCP_PACKETS[root@localhost~]#iptables-traw-LChainPREROUTING(policyACCEPT)……ChainOUTPUT(policyACCEPT)……ChainTCP_PACKETS(0references)targetprotoptsourcedestination18設(shè)置匹配數(shù)據(jù)包的條件通用條件匹配可直接使用,不依賴于其他的條件或擴(kuò)展模塊包括網(wǎng)絡(luò)協(xié)議、IP地址、網(wǎng)絡(luò)接口等匹配方式隱含條件匹配一般需要以特定的協(xié)議匹配作為前提包括端口、TCP標(biāo)記、ICMP類型等匹配方式顯式條件匹配需要使用“-m擴(kuò)展模塊”的形式明確指定匹配方式包括多端口、MAC地址、IP地址范圍、數(shù)據(jù)包狀態(tài)等匹配方式19通用條件匹配協(xié)議匹配使用“-p

協(xié)議名”的形式協(xié)議名可使用在“/etc/protocols”文件中定義的名稱常用的協(xié)議包括tcp、udp、icmp等地址匹配使用“-s

源地址”、“-d

目標(biāo)地址”的形式地址可以是單個IP地址、網(wǎng)絡(luò)地址(帶掩碼長度)接口匹配使用“-i

網(wǎng)絡(luò)接口名”、“-o

網(wǎng)絡(luò)接口名”的形式,分別對應(yīng)接收、發(fā)送數(shù)據(jù)包的網(wǎng)絡(luò)接口[root@localhost~]#iptables-IINPUT-p

icmp-jREJECT[root@localhost~]#iptables-AFORWARD-p!

icmp-jACCEPT[root@localhost~]#iptables-AFORWARD-s192.168.1.11-jREJECT[root@localhost~]#iptables-AINPUT-ieth1-s172.16.0.0/12-jDROP[root@localhost~]#iptables-AFORWARD-oeth1-d61.35.4.3-jDROP20隱含條件匹配端口匹配使用“--sport

源端口”、“--dport

目標(biāo)端口”的形式采用“端口1:端口2”的形式可以指定一個范圍的端口TCP標(biāo)記匹配使用“--tcp-flags

檢查范圍被設(shè)置的標(biāo)記”的形式如“--tcp-flagsSYN,RST,ACKSYN”表示檢查SYN、RST、ACK這3個標(biāo)記,只有SYN為1時滿足條件ICMP類型匹配使用“--icmp-typeICMP類型”的形式ICMP類型可以使用類型字符串或者對應(yīng)的數(shù)值,例如Echo-Request、Echo-Reply[root@localhost~]#iptables-AFORWARD-ptcp--dport22-jACCEPT[root@localhost~]#iptables-AOUTPUT-ptcp--sport20:80-jACCEPT[root@localhost~]#iptables-IINPUT-ieth1-ptcp--tcp-flagsSYN,RST,ACKSYN-jREJECT[root@localhost~]#iptables-AINPUT-ieth0-picmp--icmp-typeEcho-Request-jDROP[root@localhost~]#iptables-AINPUT-picmp--icmp-typeEcho-Reply-jACCEPT21顯式條件匹配MAC地址匹配使用“-mmac”結(jié)合“--mac-sourceMAC地址”的形式多端口匹配使用“-mmultiport”結(jié)合“--sports

源端口列表”或者“--dports

目標(biāo)端口列表”的形式多個端口之間使用逗號“,”分隔,連續(xù)的端口也可以使用冒號“:”分隔IP地址范圍匹配使用“-miprange”結(jié)合“--src-range

源IP范圍”或者“--dst-range

目標(biāo)IP范圍”的形式以“-”符號連接起始IP地址、結(jié)束IP地址[root@localhost~]#iptables-AFORWARD-mmac--mac-source00:0C:29:27:55:3F-jDROP[root@localhost~]#iptables-AINPUT-ptcp

-mmultiport--dport20,21,25,110,1250:1280-jACCEPT[root@localhost~]#iptables-AFORWARD-ptcp

-miprange--src-range192.168.1.20-192.168.1.99-jDROP22顯式條件匹配(續(xù))數(shù)據(jù)包狀態(tài)匹配使用“-mstate”結(jié)合“--state

狀態(tài)類型”的形式同時表示多種狀態(tài)時以逗號“,”分隔常見的數(shù)據(jù)包狀態(tài)包括:NEW、ESTABLISHED、RELATED[root@localhost~]#iptables-AFORWARD-mstate--stateNEW-ptcp!--syn-jDROP[root@localhost~]#iptables-AINPUT-ptcp

-mstate--stateNEW-jDROP[root@localhost~]#iptables-AINPUT-ptcp

-mstate--stateESTABLISHED,RELATED-jACCEPT23數(shù)據(jù)包控制常見的數(shù)據(jù)包處理方式ACCEPT:放行數(shù)據(jù)包DROP:丟棄數(shù)據(jù)包REJECT:拒絕數(shù)據(jù)包LOG:記錄日志信息,并傳遞給下一條規(guī)則處理用戶自定義鏈名:傳遞給自定義鏈內(nèi)的規(guī)則進(jìn)行處理SNAT:修改數(shù)據(jù)包的源地址信息DNAT:修改數(shù)據(jù)包的目標(biāo)地址信息[root@localhost~]#iptables-AINPUT-ptcp--dport22-mlimit--limit3/minute--limit-b

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論