防火墙技术与应用 教学课件 ppt 作者 陈波 第9章 开源防火墙Linux iptables应用

《防火墙技术与应用 教学课件 ppt 作者 陈波 第9章 开源防火墙Linux iptables应用》由会员分享，可在线阅读，更多相关《防火墙技术与应用 教学课件 ppt 作者 陈波 第9章 开源防火墙Linux iptables应用（41页珍藏版）》请在金锄头文库上搜索。

1、1,第9章开源防火墙Linux iptables应用,Linux操作系统具有健壮性、可靠性、灵活性以及可定制性等特点，Linux操作系统具有许多内置的功能，使得开发人员可以根据自己的需要定制其工具、行为和外观，Linux防火墙就是其中一个内置功能。 本章首先介绍Linux 2.4以上内核中的两个组件netfilter和iptables，接着介绍iptables命令典型用法，最后给出了一个iptables综合应用实例。,防火墙技术与应用,2,9.1 iptables简介,Linux 2.4内核中实现了具有包过滤、数据包处理、网络地址转换等防火墙功能框架的netfilter/iptables。 n

2、etfilter/iptables由netfilter和iptables两个组件组成。 netfilter 组件也称为内核空间（kernel space），是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。 iptables组件也称为用户空间（user space）。通过使用用户空间的iptables，用户可以构建自己的定制规则，并存储在内核空间的数据包过滤表中,告诉内核对来自某些源、前往某些目的地或具有某些协议类型的数据包做些什么。,防火墙技术与应用,3,9.1 iptables简介,netfilter的主要安全功能有： 包过滤（Packet Filter

3、ing）。netfilter通过检查每个包的头部，然后决定如何处置包：丢弃、通过或者转发等。 网络地址转换（Network Address Translation）。netfilter提供两种不同的网络地址转换方式：源NAT（SNAT）和目标NAT（DNAT）。SNAT是指修改包的源地址（改变连接的源IP）。DNAT是指修改包的目标地址（改变连接的目的IP）。端口转发、负载均衡和透明代理都属于DNAT。地址伪装（Masquerading）是SNAT的一种特殊形式。 连接跟踪（Connection Tracking）。netfilter提供网络连接状态信息保持，能够对当前数据包及其状态信息和其前

4、一时刻的数据包及其状态信息进行比较，从而控制数据包的处理。 包变换（Packet Mangling）。netfiher可以改动数据包的内容，例如设置或改变包的TOS（服务类型）字段、改变包的TTL（生存期）字段、在包中设置标志值，利用该标志可以进行带宽限制、分类查询。,防火墙技术与应用,4,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 netfilter对数据包的安全控制依据规则（rule）来进行，规则存放在若干系列的“表”（tables）中，每个表由若干“规则链”（chains）组成，根据规则所处理的信息包的类型，可以将规则分在不同的“规则链”（chai

5、ns）中。,防火墙技术与应用,5,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 netfilter提供三种策略规则表： filter 表，用于一般的数据包过滤； Mangle表，如果数据包及其头内进行了任何更改，则使用 mangle 表； nat表，用于要转发的数据包。,防火墙技术与应用,6,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 （1）filter表 filter是默认的规则表，用于一般数据包的过滤。filter表包含INPUT、OUTPUT和FORWARD三个标准链，内核处理的每个数据包都要经过三个链中的个。

6、 INPUT链里的规则用于处理目的地址是本地主机的数据包。 OUTPUT链里的规则用于处理从本地主机发出的数据包。 FORWARD链里的规则用于处理在一个网络接口收到的，而且需要转发到另一个网络接口的所有数据包。,防火墙技术与应用,7,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 （1）filter表,防火墙技术与应用,8,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 （2）nat表 nat表主要用于一对一、一对多、多对多等网络地址转换（SNAT、DNAT）。经过nat操作的数据包的地址会根据规则发生改变。属于一个流的

7、包只会经过这个表一次，如果第一个包被允许做nat，则余下的包都会自动地完成相同的操作。该表包含PREROUTING、OUTPUT和POSTROUTING链。 PREROUTING链的作用是在包刚刚到达防火墙时改变它的目的地址。 OUTPUT链改变本地产生的包的目的地址。 POSTROUTING链在包就要离开防火墙之前改变其源地址。,防火墙技术与应用,9,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 （3）mangle表 mangle表可以实现对数据包头的修改或给数据包附上一些带外数据，当前mangle表支持修改TOS位等字段。但由于某些中间层设备会忽略TO

8、S位的值，因此实际应用较少。该表包含INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING五个链。,防火墙技术与应用,10,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 （3）mangle表 包含INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING五个链。 PREROUTING在包进入防火墙以后、路由判断之前改变包。 POSTROUTING是在所有路由判断之后改变包。 OUTPUT在确定包的目的之前更改数据包。 INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。 FORWA

9、RD在最初的路由判断之后、最后一次更改包的目的之前修改数据包包头。,防火墙技术与应用,11,9.1 iptables简介,9.1.1 netfilter对数据包安全控制的依据 netfilter数据包控制流程，包含三种情况： 来自外部，以防火墙（本地主机）为目的地的数据包，在图中自上至下走左边一条路径； 由防火墙（本地主机）产生的包，在图中从“本地进程”开始，自上至下走左边一条路径； 来自外部，目的地是其它主机的包，在图中自上至下走右边一条路径。通常mangle表较少使用。,防火墙技术与应用,12,9.1 iptables简介,netfilter数据包控制流程,防火墙技术与应用,13,9.1

10、iptables简介,9.1.2 iptables命令 iptables内置了filter、nat和mangle三张表，可以使用-t 表名来设置对哪张表生效。也可以省略-t参数，则默认对filter表进行操作。 command是必需的，它告诉iptables命令做什么，例如插入规则、将规则添加到链的末尾或是删除规则。,防火墙技术与应用,14,9.1 iptables简介,9.1.2 iptables命令 常用的command选项,防火墙技术与应用,15,9.1 iptables简介,9.1.2 iptables命令 chains选项,防火墙技术与应用,16,9.1 iptables简介,9.1

11、.2 iptables命令 常用的通用匹配选项,防火墙技术与应用,17,9.1 iptables简介,9.1.2 iptables命令 常用的目标动作选项,防火墙技术与应用,18,9.2 iptables应用实例,9.2.1 iptables命令典型用法 1. 规则的增加和删除 1）添加一条规则到INPUT链的末尾 iptables -A INPUT -s 192.168.1.1 -j ACCEPT 2）从INPUT链中删除一条规则 iptables -D INPUT -dport 80 -j DROP 3）从OUTPUT链中删除编号为3的规则 iptables -D OUTPUT 3 4）删

12、除FORWARD链中的所有规则 iptables -F FORWARD 5）删除所有链中的所有规则 iptables -F,防火墙技术与应用,19,9.2 iptables应用实例,9.2.1 iptables命令典型用法 2. 简单规则的设置 1）指定源地址和目的地址的规则 iptables命令中，以-source、-src或-s来指定源地址，而用-destination、-dst或-d来指定目的地址。 iptables -A INPUT -s 192.168.1.1 -j ACCEPT 该规则具体内容是：添加一条规则到filter表INPUT链的末尾，源地址为192.168.1.1的数据包

13、允许通过。,防火墙技术与应用,20,9.2 iptables应用实例,9.2.1 iptables命令典型用法 2. 简单规则的设置 1）指定源地址和目的地址的规则 在-s后可用四种方法指定IP地址。 直接使用IP地址，如“192.168.1.1”。 使用完整的域名，如“”。 用x.x.x.x/x.x.x.x指定一个网段，如“192.168.1.0/255.255.255.0”。 用x.x.x.x/x指定一个网络地址，如“192.168.1.0/24”，这里的24表明了子网掩码的有效位数，默认的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。,防火墙技术

14、与应用,21,9.2 iptables应用实例,9.2.1 iptables命令典型用法 2. 简单规则的设置 1）指定源地址和目的地址的规则 可使用-d指定目标地址 iptables -A OUTPUT -d 192.168.1.1 -j DROP 该规则具体内容是：添加一条规则到OUTPUT链的末尾，目标地址为192.168.1.1的数据包被拒绝。 iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT 该规则规定：源地址为192.168.1.0/24，目标地址为192.168.2.100的数据包允许通过。,防火墙技

15、术与应用,22,9.2 iptables应用实例,9.2.1 iptables命令典型用法 2. 简单规则的设置 2）指定端口的规则 iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.100 -dport 80 -j ACCEPT 该规则规定：源地址为192.168.1.0/24，目标地址为192.168.2.100，目标端口为80的数据包允许通过。 3）指定协议的规则 iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 -dport 80 -j ACCEPT 该规则规定

16、：源地址为192.168.1.0/24，目标地址为192.168.2.100，目标端口为80的所有tcp数据包允许通过。,防火墙技术与应用,23,9.2 iptables应用实例,9.2.1 iptables命令典型用法 2. 简单规则的设置 4）指定网络接口的规则 iptables -A INPUT -i ppp0 -p tcp -syn -j DROP 假设iptables防火墙的对外的网络接口是ppp0，则该规则可用于禁止外网访问内网。 5）指定服务的规则 iptables -A INPUT -s 200.200.200.1 -p tcp -destination -port telnet -j DROP 该规则禁止IP地址为200.200.200.1机器访问Telnet服务。,防火墙技术与应用,24,9.2 iptables应用实例,9.2.1 iptables命令典型用法 3. 规则默认策略的设置 iptables -P INPUT DROP 将INPUT链的默认策略指定为DROP，即丢弃所有与INPUT链中任何规则都不匹配