Linux操作系統(tǒng)配置與管理課件：Linux防火墻

Linux操作系統(tǒng)配置與管理

Linux防火墻

學(xué)習(xí)要點(diǎn)TCPWrappers的工作原理及配置IPTables的構(gòu)成IPTables的配置13.1TCPWrappers

13.1.1TCPWrappers簡(jiǎn)介TCPWrappers本意指的是針對(duì)使用TCP協(xié)議的封裝，實(shí)質(zhì)上是對(duì)使用TCP協(xié)議的應(yīng)用程序進(jìn)行檢測(cè)，同時(shí)也提供對(duì)系統(tǒng)的保護(hù)。它是一層額外的防護(hù)，通過它可以實(shí)現(xiàn)基于IP的存取控制，同時(shí)提供日志支持和消息反饋。13.1TCPWrappers

13.1.2TCPWrappers配置1．判斷某個(gè)服務(wù)是否支持TCPWrappers?？梢酝ㄟ^命令檢測(cè)

ldd/usr/sbin/sshd|greplibwrap2.工作原理tcpwrappers使用兩個(gè)文件來進(jìn)行訪問控制，一個(gè)是/etc/hosts.allow，另外一個(gè)是/etc/hosts.deny13.1TCPWrappers

13.1.2TCPWrappers配置（1）當(dāng)有客戶端請(qǐng)求時(shí)首先檢查/etc/hosts.allow如有匹配的，就允許或者拒絕訪問（跳過/etc/hosts.deny這個(gè)文件的檢查）沒有匹配的,就去檢查/etc/hosts.deny文件,如果有匹配的，就拒絕這個(gè)訪問（2）如果這兩個(gè)文件都沒有找到匹配，默認(rèn)是允許訪問的。3.TCPWrappers的使用方法服務(wù)列表：地址列表：選項(xiàng)13.2IPTables防火墻

IPTables防火墻由Netfilter項(xiàng)目開發(fā)的，是在Linux2.4內(nèi)核及以后版本中集成在Linux中了，主要以包過濾控制為主，同時(shí)也提供了協(xié)議狀態(tài)跟蹤可這一效率更高的工作方式，它可以根據(jù)管理員的要求靈活的進(jìn)行配置，使用起來很方便，而且控制效果很好，可以對(duì)網(wǎng)絡(luò)的安全起到很好的防護(hù)作用13.2IPTables防火墻

13.2.1IPTables構(gòu)成

1．netfilter：也稱為內(nèi)核空間（kernelspace）,是內(nèi)核的一部份，由一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。2．Iptables：是一種工具，也稱為用戶空間（userspace）,它使添加、修改和刪除信息包過濾表中的規(guī)則變得更容易。13.2IPTables防火墻

13.2.1IPTables構(gòu)成netfilter是Linux核心中一個(gè)通用架構(gòu)，它提供了一系列的“表”(tables)，每個(gè)表由若干“鏈”(chains)組成，而每條鏈中可以有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來理解，netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。IPTables包含3個(gè)表，分別是Filter、NAT、Manage表，通過這幾個(gè)表可以設(shè)置防火墻對(duì)數(shù)據(jù)包進(jìn)行篩選、改寫。這幾個(gè)表又包含若干鏈，用于存放規(guī)則在IPTables的使用中會(huì)出現(xiàn)4鐘狀態(tài)，分別是NEW、ESTABLISHED、RELATED和INVALID13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

IPTables的命令格式如下：iptables[-ttable]command[chain][match][-jtarget/jump]從語法從可以看到配置IPTables需要配置表選項(xiàng)、命令選項(xiàng)、匹配選項(xiàng)、動(dòng)作選項(xiàng)

13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

1．表IPTables可以使用Filter、NAT、Manage表，默認(rèn)情況下使用的是Filter表（1）Filter表：用于數(shù)據(jù)包過濾（2）NAT表：用于網(wǎng)絡(luò)地址轉(zhuǎn)換。在該表不做數(shù)據(jù)包的過濾，如果第一個(gè)數(shù)據(jù)包被允許通過，后續(xù)數(shù)據(jù)包就可以自動(dòng)做相同的操作，不需要再經(jīng)過該表。（3）Manage表：該表主要用來修改數(shù)據(jù)包。例如修改TTL(存活時(shí)間)、TOS（服務(wù)質(zhì)量）、以及給數(shù)據(jù)包的加上標(biāo)記。13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

2．command和chaincommand指的是對(duì)所針對(duì)的規(guī)則做哪些操作。chain是一個(gè)檢查清單，它會(huì)利用預(yù)先設(shè)定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行判斷,有如下5個(gè)鏈:PREROUTING、FORWARD、INPUT、OUTPUT、POSTROUTING

13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

3．match總共有五內(nèi)匹配。第一類是通用的匹配，適用于所有的規(guī)則；第二類是TCPmatches，用于TCP數(shù)據(jù)包；第三類是UDPmatches，用在UDP數(shù)據(jù)包；第四類是ICMPmatches，針對(duì)ICMP包的；第五類針對(duì)的是狀態(tài)（state），所有者（owner）和訪問的頻率限制（limit）等。13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

4．target/jump該選項(xiàng)表示被匹配到的數(shù)據(jù)包將跳轉(zhuǎn)的哪個(gè)目標(biāo)去，并執(zhí)行那個(gè)目標(biāo)相應(yīng)的動(dòng)作-j參數(shù)用來指定要進(jìn)行的處理動(dòng)作，常用的處理動(dòng)作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE