Linux網(wǎng)絡(luò)管理員實(shí)用教程-第14章-IPTABLES防火墻

第14章

iptables防火墻14.1iptables簡介netfilter/iptables（其中包括netfilter和iptables兩個(gè)組件）組成了Linux平臺(tái)下的包過濾防火墻，它與大多數(shù)的Linux自帶軟件一樣，這個(gè)防火墻是免費(fèi)提供的，它可以代替昂貴的企業(yè)級(jí)防火墻來解決實(shí)際問題與實(shí)際方案，完成封包過濾，封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。iptables并不是最早出現(xiàn)的防火墻軟件，它的前身是ipchains。隨著發(fā)展到Linux2.4.X內(nèi)核以后，ipchains逐漸被功能更加強(qiáng)大的iptables所代替。iptables可以檢查數(shù)據(jù)包的源和目的IP地址，源和目的端口，流入數(shù)據(jù)包的順序號(hào)，TCP先后順序的信息以及包頭標(biāo)記(SYN、ACK、FIN、RST等)的狀態(tài)。iptables會(huì)跟蹤整個(gè)會(huì)話過程，從而提高安全性和包過濾的效率。214.2iptables工作原理數(shù)據(jù)包從外網(wǎng)傳送到防火墻后，防火墻搶在IP層向TCP層傳送之前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給檢查模塊進(jìn)行處理。其過程如下。1）首先與第一個(gè)過濾規(guī)則比較。2）如果與第一個(gè)模塊相同，則對(duì)它進(jìn)行審核，判斷是否要轉(zhuǎn)發(fā)該數(shù)據(jù)包，這時(shí)審核的結(jié)果是轉(zhuǎn)發(fā)數(shù)據(jù)包，則將數(shù)據(jù)包發(fā)送到TCP層進(jìn)行處理，否則就將它丟棄。3）如果與第一個(gè)過濾規(guī)則不同，則接著與第二個(gè)規(guī)則相比較，如果相同則對(duì)它進(jìn)行審核，過程與上一步相同。4）如果與第二個(gè)過濾規(guī)則不同，則繼續(xù)與下一個(gè)過濾規(guī)則比較，直到與所有的過濾規(guī)則比較完成。要是不滿足所有過濾規(guī)則，就將數(shù)據(jù)丟棄。314.2iptables工作原理包檢查器并不檢查數(shù)據(jù)包的所有內(nèi)容，它通常只檢查下列幾項(xiàng)：414.2iptables工作原理iptables的工作原理如圖514.3項(xiàng)目說明與項(xiàng)目要求1.項(xiàng)目說明防火墻在一個(gè)安全的網(wǎng)絡(luò)組成當(dāng)中是不可以缺少的，但是考慮到成本、對(duì)協(xié)議的支持等因素，通常采用iptables作為防火墻。主要意圖是讓它強(qiáng)制執(zhí)行安全策略，使得網(wǎng)絡(luò)周圍能夠創(chuàng)建一個(gè)安全的邊界。2.項(xiàng)目要求配置一臺(tái)運(yùn)行Linux的服務(wù)器，其地址是，子網(wǎng)掩碼是，默認(rèn)網(wǎng)關(guān)是。客戶機(jī)用Windows進(jìn)行測試，如圖14.2所示。要求源地址是/24的客戶機(jī)都禁止訪問這臺(tái)Linux服務(wù)器的Web服務(wù)。614.4配置步驟說明1）網(wǎng)絡(luò)參數(shù)設(shè)置。2）查看是否安裝了iptables。3）啟動(dòng)Apache服務(wù)（其默認(rèn)端口是80）。4）編寫腳本。5）啟動(dòng)iptables服務(wù)并運(yùn)行腳本。配置流程如圖所示：714.5配置過程步驟1：設(shè)置服務(wù)器的IP地址為，并關(guān)閉防火墻（參照第7章相關(guān)內(nèi)容）。步驟2：查看是否安裝iptables。打開終端，在終端輸入命令：[root@localhost

root]#rpm-qiptables出現(xiàn)如圖14.4所示的iptables版本信息，說明已安裝了iptables服務(wù)器。814.5配置過程步驟3：啟動(dòng)Apache服務(wù)。1）在終端輸入命令“servicehttpdstart”，啟動(dòng)Apache服務(wù)器。[root@localhostroot]#servicehttpdstart2）用Windows2000客戶機(jī)測試，具體步驟如下。Windows2000客戶機(jī)的IP地址為8，子網(wǎng)掩碼為。在Windows2000中打開IE，在地址欄中輸入http://:80，如圖14.5示。如出現(xiàn)圖中的內(nèi)容，則說明80端口已打開。914.5配置過程步驟4：編寫腳本。打開終端，在終端輸入“vi/etc/rc.d/rc.local”。[root@localhost

root]#vi/etc/rc.d/rc.local#!/bin/shtouch/var/lock/subsys/localiptables–F#清除預(yù)設(shè)表filter中，所有規(guī)則鏈中的規(guī)則iptables–X#清除預(yù)設(shè)表filter中，使用者自訂鏈中的規(guī)則iptables–AINPUT–ptcp-s/24--dport80–jDROP#禁止IP地址為/24這個(gè)網(wǎng)段的主機(jī)連接Linux的80端口步驟5：啟動(dòng)iptables服務(wù)及運(yùn)行腳本。在終端輸入命令serviceiptablesstart，啟動(dòng)iptables,然后在終端輸入命令.“/etc/rc.d/rc.local”，運(yùn)行腳本中寫的規(guī)則。[root@localhostroot]#serviceiptablesstart[root@localhostroot]#./etc/rc.d/rc.local

1014.6測試用同一臺(tái)客戶機(jī)再次測試，打開IE，在地址欄中輸入http://:80，如圖14.6所示。圖中出現(xiàn)“該頁無法顯示”信息，說明已禁止/24網(wǎng)段的客戶機(jī)訪問Linux的80端口。1114.7命令與參數(shù)1．-A例子：iptables-AINPUT…解釋：在所選擇的鏈末添加規(guī)則。當(dāng)源地址或目的地址是以名字而不是ip地址的形式出現(xiàn)時(shí)，若這些名字可以被解析為多個(gè)地址，則這條規(guī)則會(huì)和所有可用的地址結(jié)合。2．-p例子：iptables-ptcp解釋：數(shù)據(jù)包分為tcp的進(jìn)行判斷（包一般分為tcp、udp及icmp封裝）。3．-s例子：iptables-s解釋：與所有來自這一IP地址的信息包進(jìn)行匹配。1214.7命令與參數(shù)4．ACCEPT例子：iptables-jACCEPT解釋：當(dāng)信息包與具有ACCEPT目標(biāo)的規(guī)則完全匹配時(shí)候，會(huì)被接受。5．DROP例子：iptables-jDROP解釋：當(dāng)信息包與具有ACCEPT目標(biāo)的規(guī)則完全匹配時(shí)候，會(huì)被拒絕。6．--dport例子：iptables--dport80解釋：與所有來自的信息包進(jìn)行80端口匹配。1314.8思考1．要求在14.3項(xiàng)目的基礎(chǔ)上，再增加部分要求。只允許8的IP地址訪問服務(wù)器的80端口。2．提示只要在./etc/rc.d/rc.local文件中修改：iptables–AINPUT–ptcp