《Linux下iptables的研究与实现》由会员分享,可在线阅读,更多相关《Linux下iptables的研究与实现(44页珍藏版)》请在金锄头文库上搜索。
1、目 录1.2 Linux包过滤防火墙的架构11.3 Linux防火墙的安装、启动和关闭2第二章 iptables简介52.1 iptables的基本概念52.2 iptables数据包的传输过程62.3 激活IP包转发功能7第三章 iptables的使用93.1 iptables的命令格式93.2 iptables命令的使用11第四章 iptables实现NAT服务174.1 NAT服务概述174.2 利用iptables实现NAT服务19第五章 iptables技巧实例255.1 禁止访问不健康的网站255.2 禁止某些客户上网255.3 禁止客户使用某些服务265.4 禁止使用ICMP协议
2、265.5 利用字符串匹配过滤视频网站285.6 利用iptables的定时功能305.7 利用iplimit参数设置最大连接数31第六章 致谢33参考文献341.2 Linux包过滤防火墙的架构iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段: 在1.1内核中,采用ipfw来操作内核包过滤规则。 在2.0内核中,采用ipfwadm来操作内核包过滤规则。 在2.2内核中,采用ipchains来控制内核包过滤规则。 在2.4内核中(如Red Hat 9.0、RHEL),采用一个全新的内核包过滤管理工具iptables。 iptables只是防火墙与用
3、户之间的接口,真正起到防火墙作用的是Linux内核中运行的netfilter。Linux平台下的包过滤防火墙由netfilter组件和iptables组件组成,其中netfilter运行在内核态,而iptables运行在用户态,用户通过iptables命令来调用netfilter来实现防火墙的功能。(1)netfilter组件netfilter是Linux内核中的一个用于扩展各种网络服务的结构化底层框架。该框架定义了包过滤子系统功能的实现,提供了filter、nat和mangle3个表,默认使用的是filter表。每个表中包含有若干条内建的链(chains),用户可在表中创建自定义的链。在每条
4、链中,可定义一条或多条过滤规则(rules)。每条规则应指定所要检查的包的特征以及如何处理与这对应的包,这被称为目标(target)。目标值可以是用户自定义的一个链名,也可以是ACCEPT、DROP、REJECT、RETURN等值。(2)iptables组件iptables组件是一个用来指定netfilter规则和管理内核包过滤的工具,用户通过它来创建、删除或插入链,并可以在链中插入、删除和修改过滤规则。iptables仅仅是一个包过滤工具,对过滤规则的执行则是通过netfilter和相关的支持模块来实现的。1.3 Linux防火墙的安装、启动和关闭iptables防火墙内置于RedHat系统
5、内核中,所以它是随系统的安装而自动安装的。可使用如下命令检查是否已安装(如下图):图1-2 检查iptables是否安装安装RHEL 4 AS时系统会提示是否开启防火墙,默认情况下将开启防火墙。由于系统的防火墙功能是使用iptables实现的,因此系统会根据用户的设置在iptables中添加相应的规则。如果在安装时选择禁用防火墙,则在安装完成后可在终端命令窗口中执行“setup”命令将弹出“配置应用程序” 窗口(如下图1-3)。图1-3 “配置应用程序”窗口选择Firewall configuration选项,则会进入防火墙配置窗口如图1-4。图1-4 “防火墙配置”窗口图1-5 “防火墙配置
6、定制”窗口 完成以上配置后,可在终端命令窗口中执行如下命令启动iptables防火墙如图1-6:图1-6 启动iptables防火墙第二章 iptables简介2.1 iptables的基本概念在使用iptables之前我们先要理解规则、链、表这3个概念以及iptables传输数据包的过程。 规则 规则(rules)就是网络管理员预先定义的条件,每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数包”。 链 链(chains)是数据包传输的路径,每一条链中可以有一条或数条规则。 表 iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功
7、能。(1)filter表filter表是iptables默认的表,如果没有指定使用哪个表,iptables默认使用filter表来执行所有的命令。filter表根据系统管理员预定义的一组规则过滤符合条件的数据包。在filter表中只允许对数据包进行接收、丢弃的操作,而无法对数据包进行更改。(2)nat表nat表主要是用于网络地址转换NAT,该表可以实现一对一、一对多、多对多等NAT工作。NAT表包含了PREROUTING链、OUTPUT链和POSTROUTING链。其中PREROUTING链用于处理刚刚进入网络层未进行路由判断的数据包,OUTPUT链用于处理在路由之前本地生成的数据包,POST
8、ROUTING链处理在路由判断之后即将通过网卡发送出去的数据包。(3)mangle表某些特殊应用可能需要改写数据包的一些传输特性,例如更改数据包的TTL和TOS等,mangle表主要用于对指定包的传输特性进行修改。2.2 iptables数据包的传输过程数据包通过iptables的具体流程如图2-1所示。图2-1iptables数据包传输的过程由图可知,当一个数据包进入计算机的网络接口时,数据首先进入POSTROUTING链,然后内核根据路由表决定数据包的目标。若数据包的目的地址是本机,则将数据包送往INPUT链进行规则检查,当数据包进入INPUT链后,系统的任何进程都会收到它,本机上运行的程
9、序可以发送该数据包,这些数据包会经过OUTPUT链,再POSTROUTING链发出;若数据包的目的地址不是本机,则检查内核是否允许转发,若允许,则将数据包送FORWARD链进行规则检查,若不允许,则丢弃该数据包。若是防火墙主机本地进程产生并准备发出的包,则数据包被送往OUTPUT链进行规则检查。2.3 激活IP包转发功能如果要把Linux配置成网关防火墙,内核必须打开IP包转发功能(即路由功能),这样一个数据包才能被送到FORWARD链进行规则检查,否则与防火墙相连的两边的网络是完全隔离的。打开Linux内核包转发功能,可使用以下命令来实现 rootlocal # echo “1” /proc
10、/sys/net/ipv4/ip_forward 上述命令只是一次性有效,为了让主机每次开机后都自动激活IP数据包转发功能,可以采用编辑配置文件/etc/sysctl.conf的方法,将其中的语句:net.ipv4.ip_forward=0 更改为net.ipv4.ip_forward=1执行如下命令: rootlocal # sysctl -p即可让系统启动后自动打开内核的包转发功能。上述操作也可以通过执行下列命令来实现相应功能:rootlocal # sysctl -w net.ipv4.ip_forward=”1”rootlocal # sysctl -p还可以/etc/sysconfi
11、g/network配置文件中,通过以下配置项来开启内核的包转发功能:FORWARD_IPV4true第三章 iptables的使用3.1 iptables的命令格式iptables用于创建、维护和检查Linux内核的IP包过滤规则,利用该命令可创建、删除或更名链,在链中创建或删除规则,设置链的策略等,功能很强大,用法也比较多,其命令基本格式为:iptables -t 表名 命令选项 链 匹配选项 操作选项1. 表名选项“-t表名”用来选择要操作的表,表名可以是 filter,nat,mangle三者之一,如该参数缺省则默认为filter表。2. 命令选项命令选项用来指定对链或规则的操作,包括插
12、入、删除、添加规则等。 iptables的主要命令选项如表3-1所示。表3-1 iptables的主要命令选项3. 链名选项“链”指定要操作的链名,除使用系统定义的链名外,用户也可自定义链名。4. 匹配选项匹配选项指定数据包与规则匹配所应具有的特征,包括源地址、目的地址、传输协议和端口号等。主要的匹配选项如表3-2所示。表3-2 iptables的主要匹配选项5. 操作选项操作选项用于指定对匹配过滤规则的数据包所进行的处理。其形式为“-j target/jump”,其中“target”是对包的处理动作,“jump”代表一个用户自定义的链名,用于跳转到该链进行规则检查。对数据常用的处理动作如表3-3所示。表3-3 iptables的主要目标动作选项3.2 iptables命令的使用1. 对链的操作(1)查看链命
