收藏
下载资源

Linux系统管理 教学课件 ppt 作者 董良 宁方明 17

上传人:E**** 文档编号:89386254 上传时间:2019-05-24 格式:PPT 页数:25 大小:1.16MB
返回 下载 相关 举报
Linux系统管理 教学课件 ppt 作者 董良 宁方明 17_第1页
第1页 / 共25页
Linux系统管理 教学课件 ppt 作者 董良 宁方明 17_第2页
第2页 / 共25页
Linux系统管理 教学课件 ppt 作者 董良 宁方明 17_第3页
第3页 / 共25页
Linux系统管理 教学课件 ppt 作者 董良 宁方明 17_第4页
第4页 / 共25页
Linux系统管理 教学课件 ppt 作者 董良 宁方明 17_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《Linux系统管理 教学课件 ppt 作者 董良 宁方明 17》由会员分享,可在线阅读,更多相关《Linux系统管理 教学课件 ppt 作者 董良 宁方明 17(25页珍藏版)》请在金锄头文库上搜索。

1、1,第十七章 防火墙基本设置,2,本章内容,Linux下防火墙的基本设置 主机防火墙 NAT网络地址转换,3,Linux防火墙概述,Linux系统的防火墙功能是由内核实现的 2.0 版内核中,包过滤机制是ipfw,管理工具是ipfwadm 2.2 版内核中,包过滤机制是ipchain,管理工具是ipchains 2.4 版及以后的内核中,包过滤机制是netfilter,管理工具是iptables,4,Linux防火墙概述,netfilter 位于Linux内核中的包过滤防火墙功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,是用来管理防火墙的命令工

2、具 为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包 称为Linux防火墙的“用户态” 习惯上,上述2种称呼都可以代表Linux防火墙,5,Linux防火墙概述,包过滤防火墙工作在TCP/IP的网络层,6,防火墙配置,直接在终端中输入“system-config-firewall”命令,打开防火墙配置窗口,7,防火墙配置,直接在终端中输入“system-config-firewall-tui”命令,8,使用iptables命令进行策略设置,iptables命令是对防火墙配置管理的核心命令 iptables命令提供了丰富的功能,可以对Linux内核中的netfilter防

3、火墙进行各种策略的设置 iptables命令的设置在系统中是即时生效的 使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失,9,使用iptables-save命令保存设置,iptables-save命令提供了防火墙配置的保存功能 iptables-save命令缺省只将配置信息显示到标准输出(屏幕)中 # iptables-save 如果需要将iptables-save命令的输出保存,需要将命令输出结果重定向到指定的文件中 # iptables-save ipt.v1.0 使用iptables-save命令可以将多个版本的配置保存到不同的文件中,10,使用ipt

4、ables脚本保存防火墙设置,iptables脚本可以保存当前防火墙配置 在保存防火墙当前配置前应先将原有配置进行备份 # cp /etc/sysconfig/iptables iptables.raw iptables脚本的save命令可以保存防火墙配置 # service iptables save 配置内容将保存在“/etc/sysconfig/iptables”文件中,文件原有的内容将被覆盖,11,iptables的规则表、链结构,规则链 规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则被组织在不同的“链”中 规则链是防火墙规则/策略的集合 默认的5种规则链 INPU

5、T:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链:在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包,12,iptables的规则表、链结构,规则表 具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的“表”中 规则表是规则链的集合 默认的4个规则表 raw表:确定是否对该数据包进行状态跟踪 mangle表:为数据包设置标记 nat表:修改数据包中的源、目标IP地址或端口 filter表:确定是否放行该数据包(过滤),13,iptables的规则表、链结构,iptables

6、防火墙默认的规则表、链结构,filter 表,第1条规则 第2条规则 第3条规则 ,INPUT 链,FORWARD 链,OUTPUT 链,mangle 表,PREROUTING链,POSTROUTING链,INPUT 链,OUTPUT 链,FORWARD 链,raw 表,PREROUTING链,OUTPUT链,nat 表,PREROUTING 链,POSTROUTING 链,OUTPUT 链,14,数据包过滤匹配流程,规则表间的优先顺序 依次为:raw、mangle、nat、filter 规则链间的匹配顺序 入站数据:PREROUTING、INPUT 出站数据:OUTPUT、POSTROUTI

7、NG 转发数据:PREROUTING、FORWARD、POSTROUTING 规则链内的匹配顺序 按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外) 若在该链内找不到相匹配的规则,则按该链的默认策略处理,15,数据包过滤匹配流程,本机的应用进程,mangle:POSTROUTING,mangle:FORWARD,raw:PREROUTING,raw:OUTPUT,mangle:INPUT,转发数据流向,出站数据流向,入站数据流向,网络A,网络B,mangle:PREROUTING,nat:PREROUTING,nat:POSTROUTING,filter:INPUT,mangle

8、:OUTPUT,nat:OUTPUT,filter:OUTPUT,filter:FORWARD,路 由 选 择,路 由 选 择,16,管理和设置iptables规则,iptables命令的语法格式 iptables -t 表名 管理选项 链名 条件匹配 -j 目标动作或跳转 几个注意事项 不指定表名时,默认表示filter表 不指定链名时,默认表示该表内所有链 除非设置规则链的缺省策略,否则需要指定匹配条件,17,iptables命令的管理选项,设置规则内容: -A:在链尾追加一条新的规则 -I:在指定位置(或链首)插入一条新的规则 -R:修改、替换指定位置或内容的规则 -P:设置指定链的默认

9、策略 列表查看规则 -L:列表查看各条规则信息 -line-numbers:查看规则信息时显示规则的行号 -n:以数字形式显示IP地址、端口等信息 -v:显示数据包个数、字节数等详细信息,rootlocalhost # iptables -t filter -A INPUT -p tcp -j ACCEPT rootlocalhost # iptables -I INPUT -p udp -j ACCEPT rootlocalhost # iptables -I INPUT 2 -p icmp -j ACCEPT rootlocalhost # iptables -P INPUT DROP r

10、ootlocalhost # iptables -L INPUT -line-numbers Chain INPUT (policy DROP) num target prot opt source destination 1 ACCEPT udp - anywhere anywhere 2 ACCEPT icmp - anywhere anywhere 3 ACCEPT tcp - anywhere anywhere,18,iptables命令的管理选项,清除规则 -D:删除指定位置或内容的规则 -F:清空规则链内的所有规则 自定义规则链 -N:创建一条新的规则链 -X:删除自定义的规则链

11、其他 -h:查看iptables命令的使用帮助,rootlocalhost # iptables -D INPUT 2 rootlocalhost # iptables -F rootlocalhost # iptables -t nat -F rootlocalhost # iptables -t raw -N TCP_PACKETS rootlocalhost # iptables -t raw -L Chain PREROUTING (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Chain TCP_PACKETS (0 references)

12、target prot opt source destination,19,设置匹配数据包的条件,通用条件匹配 可直接使用,不依赖于其他的条件或扩展模块 包括网络协议、IP地址、网络接口等匹配方式 隐含条件匹配 一般需要以特定的协议匹配作为前提 包括端口、TCP标记、ICMP类型等匹配方式 显式条件匹配 需要使用“-m 扩展模块”的形式明确指定匹配方式 包括多端口、MAC地址、IP地址范围、数据包状态等匹配方式,20,通用条件匹配,协议匹配 使用“-p 协议名”的形式 协议名可使用在“/etc/protocols”文件中定义的名称 常用的协议包括tcp、udp、icmp等 地址匹配 使用“-s

13、 源地址”、 “-d 目标地址”的形式 地址可以是单个IP地址、网络地址(带掩码长度) 接口匹配 使用“-i 网络接口名”、 “-o 网络接口名”的形式,分别对应接收、发送数据包的网络接口,rootlocalhost # iptables -I INPUT -p icmp -j REJECT rootlocalhost # iptables -A FORWARD -p ! icmp -j ACCEPT rootlocalhost # iptables -A FORWARD -s 192.168.1.11 -j REJECT rootlocalhost # iptables -A INPUT -

14、i eth1 -s 172.16.0.0/12 -j DROP rootlocalhost # iptables -A FORWARD -o eth1 -d 61.35.4.3 -j DROP,21,隐含条件匹配,端口匹配 使用“-sport 源端口”、“-dport 目标端口”的形式 采用“端口1:端口2”的形式可以指定一个范围的端口 TCP标记匹配 使用“-tcp-flags 检查范围 被设置的标记”的形式 如“-tcp-flags SYN,RST,ACK SYN”表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件 ICMP类型匹配 使用“-icmp-type ICMP类型

15、”的形式 ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Request、Echo-Reply,rootlocalhost # iptables -A FORWARD -p tcp -dport 22 -j ACCEPT rootlocalhost # iptables -A OUTPUT -p tcp -sport 20:80 -j ACCEPT rootlocalhost # iptables -I INPUT -i eth1 -p tcp -tcp-flags SYN,RST,ACK SYN -j REJECT rootlocalhost # iptables -A INPUT -i eth0 -p icmp -icmp-type Echo-Request -j DROP rootlocalhost # iptables -A INPUT -p icmp -icmp-type Echo-Reply -j ACCEPT,22,显式条件匹配,MAC地址匹配 使用“-m mac”结合“-mac-source MAC地址”的形式 多端口匹配 使用“-m multiport”结合“-sports 源端口列表”或者“-dports 目标端口列表”的形式 多个端口之

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号