收藏
下载资源

第10章 iptables防火墙与NAT服务

上传人:资****亨 文档编号:133970621 上传时间:2020-06-01 格式:PPT 页数:59 大小:575KB
返回 下载 相关 举报
第10章 iptables防火墙与NAT服务_第1页
第1页 / 共59页
第10章 iptables防火墙与NAT服务_第2页
第2页 / 共59页
第10章 iptables防火墙与NAT服务_第3页
第3页 / 共59页
第10章 iptables防火墙与NAT服务_第4页
第4页 / 共59页
第10章 iptables防火墙与NAT服务_第5页
第5页 / 共59页
点击查看更多>>
资源描述

《第10章 iptables防火墙与NAT服务》由会员分享,可在线阅读,更多相关《第10章 iptables防火墙与NAT服务(59页珍藏版)》请在金锄头文库上搜索。

1、 第10章iptables防火墙与NAT服务 本章导读防火墙的概述iptables简介iptables基础关闭系统防火墙NAT服务使用iptables实现NAT服务iptables技巧实例 10 1防火墙的概述 防火墙的简介防火墙的分类防火墙的工作原理 防火墙的简介 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合 它能增强机构内部网络的安全性 它通过访问控制机制 确定哪些内部服务允许外部访问 以及允许哪些外部请求可以访问内部服务 它可以根据网络传输的类型决定IP包是否可以传进或传出内部网 防火墙通过审查经过的每一个数据包 判断它是否有相匹配的过滤规则 根据规则的先后顺序进行一一比较

2、 直到满足其中的一条规则为止 然后依据控制机制做出相应的动作 如果都不满足 则将数据包丢弃 从而保护网络的安全 防火墙的简介 通过使用防火墙可以实现以下功能 可以保护易受攻击的服务 控制内外网之间网络系统的访问 集中管理内网的安全性 降低管理成本 提高网络的保密性和私有性 记录网络的使用状态 为安全规划和网络维护提供依据 防火墙的分类 防火墙技术根据防范的方式和侧重点的不同而分为很多种类型 但总体来讲可分为包过滤防火墙和代理服务器两种类型 防火墙的工作原理 1 包过滤防火墙工作原理 防火墙的工作原理 数据包从外网传送到防火墙后 防火墙抢在IP层向TCP层传送前 将数据包转发给包检查模块进行处理

3、 首先与第一个过滤规则比较 如果与第一个模块相同 则对它进行审核 判断是否转发该数据包 这时审核结果是转发数据包 则将数据包发送到TCP层进行处理 否则就将它丢弃 如果与第一个过滤规则不同 则接着与第二个规则相比较 如果相同则对它进行审核 过程与 相同 如果与第二个过滤规则不同 则继续与下一个过滤规则比较 直到与所有过滤规则比较完成 要是所有过滤规则都不满足 就将数据包丢弃 防火墙的工作原理 2 代理服务型防火墙工作原理代理服务型防火墙是在应用层上实现防火墙功能的 它能提供部分与传输有关的状态 能完全提供与应用相关的状态和部分传输的信息 它还能处理和管理信息 它的具体工作原理参见11 1 2节

4、 10 2iptables简介 netfilter iptables 下文简称为iptables 组成Linux平台下的包过滤防火墙 与大多数的Linux软件一样 这个包过滤防火墙是免费的 它可以代替昂贵的商业防火墙解决方案 完成封包过滤 封包重定向和网络地址转换NAT等功能 Iptables netfilter包过滤防火墙其实是由两个组件构成的 一个是netfilter 一个是iptables 10 3iptables基础 规则 rules 链 chains 表 tables iptables传输数据包的过程 规则 rules 规则 rules 其实就是网络管理员预定义的条件 规则一般的定义

5、为 如果数据包头符合这样的条件 就这样处理这个数据包 规则存储在内核空间的信息包过滤表中 这些规则分别指定了源地址 目的地址 传输协议 如TCP UDP ICMP 和服务类型 如HTTP FTP和SMTP 等 当数据包与规则匹配时 iptables就根据规则所定义的方法来处理这些数据包 如放行 accept 拒绝 reject 和丢弃 drop 等 配置防火墙的主要工作就是添加 修改和删除这些规则 链 chains 链 chains 是数据包传播的路径 每一条链其实就是众多规则中的一个检查清单 每一条链中可以有一条或数条规则 当一个数据包到达一个链时 iptables就会从链中第一条规则开始检

6、查 看该数据包是否满足规则所定义的条件 如果满足 系统就会根据该条规则所定义的方法处理该数据包 否则iptables将继续检查下一条规则 如果该数据包不符合链中任一条规则 iptables就会根据该链预先定义的默认策略来处理数据包 表 tables 表 tables 提供特定的功能 iptables内置了3个表 即filter表 nat表和mangle表 分别用于实现包过滤 网络地址转换和包重构的功能 1 filter表2 nat表3 mangle表 iptables传输数据包的过程 当一个数据包进入网卡时 它首先进入PREROUTING链 内核根据数据包目的IP判断是否需要转送出去 如果数据

7、包就是进入本机的 它就会沿着图向下移动 到达INPUT链 数据包到了INPUT链后 任何进程都会收到它 本机上运行的程序可以发送数据包 这些数据包会经过OUTPUT链 然后到达POSTROUTING链输出 如果数据包是要转发出去的 且内核允许转发 数据包就会如图10 4所示向右移动 经过FORWARD链 然后到达POSTROUTING链输出 10 4关闭系统防火墙 iptables命令格式iptables的使用 10 4关闭系统防火墙 执行 setup 命令启动文字模式配置实用程序 在 选择一种工具 中选择 防火墙配置 然后选择 运行工具 按钮 出现防火墙的配置界面 将 安全级别 设为 禁用

8、然后选择 确定 即可 iptables命令格式 iptables的命令格式较为复杂 一般的格式如下 iptables t表 命令匹配操作1 表选项表选项用于指定命令应用于哪个iptables内置表 iptables内置包括filter表 nat表和mangle表 iptables命令格式 2 命令选项 iptables命令格式 3 匹配选项 iptables命令格式 4 动作选项 iptables的使用 1 定义默认策略当数据包不符合链中任一条规则时 iptables将根据该链预先定义的默认策略来处理数据包 默认策略的定义格式如下 iptables t表名 参数说明如下 t表名 指默认策略将应

9、用于哪个表 可以使用filter nat和mangle 如果没有指定使用哪个表 iptables就默认使用filter表 定义默认策略 指默认策略将应用于哪个链 可以使用INPUT OUTPUT FORWARD PREROUTING OUTPUT和POSTROUTING 处理数据包的动作 可以使用ACCEPT 接受数据包 和DROP 丢弃数据包 iptables的使用 2 查看iptables规则查看iptables规则的命令格式为 iptables t表名 链名 参数说明如下 t表名 指查看哪个表的规则列表 表名用可以使用filter nat和mangle 如果没有指定使用哪个表 iptab

10、les就默认查看filter表的规则列表 查看指定表和指定链的规则列表 链名 指查看指定表中哪个链的规则列表 可以使用INPUT OUTPUT FORWARD PREROUTING OUTPUT和POSTROUTING 如果不指明哪个链 则将查看某个表中所有链的规则列表 iptables的使用 3 增加 插入 删除和替换规则相关规则定义的格式为 iptables t表名 链名 规则编号 i o网卡名称 p协议类型 s源IP地址 源子网 sport源端口号 d目标IP地址 目标子网 dport目标端口号 参数说明如下 t表名 定义默认策略将应用于哪个表 可以使用filter nat和mangle

11、 如果没有指定使用哪个表 iptables就默认使用filter表 A 新增加一条规则 该规则将会增加到规则列表的最后一行 该参数不能使用规则编号 I 插入一条规则 原本该位置上的规则将会往后顺序移动 如果没有指定规则编号 则在第一条规则前插入 D 从规则列表中删除一条规则 可以输入完整规则 或直接指定规则编号加以删除 iptables的使用 R 替换某条规则 规则被替换并不会改变顺序 必须要指定替换的规则编号 指定查看指定表中哪个链的规则列表 可以使用INPUT OUTPUT FORWARD PREROUTING OUTPUT和POSTROUTING 规则编号 规则编号用于插入 删除和替换规

12、则时用 编号是按照规则列表的顺序排列 规则列表中第一条规则的编号为1 i o网卡名称 i是指定数据包从哪块网卡进入 o是指定数据包从哪块网卡输出 网卡名称可以使用ppp0 eth0和eth1等 p协议类型 可以指定规则应用的协议 包含TCP UDP和ICMP等 s源IP地址 源子网 源主机的IP地址或子网地址 sport源端口号 数据包的IP的源端口号 d目标IP地址 目标子网 目标主机的IP地址或子网地址 dport目标端口号 数据包的IP的目标端口号 处理数据包的动作 各个动作的详细说明可以参考表10 3 iptables的使用 4 清除规则和计数器在新建规则时 往往需要清除原有的 旧的规

13、则 以免它们影响新设定的规则 如果规则比较多 一条条删除就会十分麻烦 这时可以使用iptables提供的清除规则参数达到快速删除所有的规则的目的 定义参数的格式为 iptables t表名 参数说明如下 t表名 指定默认策略将应用于哪个表 可以使用filter nat和mangle 如果没有指定使用哪个表 iptables就默认使用filter表 F 删除指定表中所有规则 Z 将指定表中的数据包计数器和流量计数器归零 10 5NAT服务 什么是私有地址什么是NATNAT的工作原理 什么是私有地址 私有地址 Privateaddress 属于非注册地址 是专门为组织机构内部使用而划定的 使用私有

14、IP地址是无法直接连接到Internet的 但是能够用在公司内部的Intranet的IP地址上 什么是NAT NAT是将一个地址域 如专用Intranet 映射到另一个地址域 如Internet 的标准方法 它是一个根据RFC1631开发的IETF标准 允许一个IP地址域以一个公有IP地址出现在Internet上 NAT可以将内部网络中的所有节点的地址转换成一个IP地址 反之亦然 它也可以应用到防火墙技术里 把个别IP地址隐藏起来不被外部发现 使外部无法直接访问内部网络设备 NAT的工作原理 1 静态网络地址转换 NAT的工作原理 在NAT服务器上建立静态NAT映射表 当内部主机 IP地址为1

15、92 168 16 10 需要建立一条到Internet的会话连接时 首先将请求发送到NAT服务器上 NAT服务器接收到请求后 会根据接收到的请求数据包检查NAT映射表 如果已为该地址配置了静态地址转换 NAT服务器就使用相对应的内部公有IP地址 并转发数据包 否则NAT服务器不对地址进行转换 直接将数据包丢弃 NAT服务器使用202 96 128 2来替换内部私有IP 192 168 16 10 的过程如图10 13所示 Internet上的主机接收到数据包后进行应答 这时主机接收到202 96 128 2的请求 当NAT服务器接收到来自Internet上的主机的数据包后 检查NAT映射表

16、如果NAT映射表存在匹配的映射项 则使用内部私有IP替换数据包的目的IP地址 并将数据包转发给内部主机 如果不存在匹配映射项则将数据包丢弃 NAT的工作原理 2 动态网络地址转换 NAT的工作原理 当内部主机 IP地址为192 168 16 10 需要建立一条到Internet的会话连接时 首先将请求发送到NAT服务器上 NAT服务器接收到请求后 根据接收到的请求数据包检查NAT映射表 如果还没有为该内部主机建立地址转换映射项 NAT服务器就会决定对该地址进行转换 建立192 168 16 10 2320 202 96 128 2 2320的映射项 并记录会话状态 如果已经存在该映射项 则NAT服务器使用该记录进行地址转换 并记录会话状态 然后NAT服务器利用转换后的地址发送数据包到Internet主机上 Internet主机接收到信息后 进行应答 并将应答信息回传给NAT服务器 当NAT服务器接收到应答信息后 检查NAT映射表 如果NAT映射表存在匹配的映射项 则使用内部公有IP替换数据包的目的IP地址 并将数据包转发给内部主机 如果不存在匹配映射项则将数据包丢弃 NAT的工作原理

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号