《Linux网路安全讲义Netfilter机制与iptable》由会员分享,可在线阅读,更多相关《Linux网路安全讲义Netfilter机制与iptable(17页珍藏版)》请在金锄头文库上搜索。
1、Linuux網路路安全講義義:Neetfiilteer機制制與ipptabbless工具一、ipptabbless 簡介介1. iptaablees下載載與技術術資源總總站htttp:/tfillterr.orrg/。2. 使用ipptabbless前先確確認核心心版本(#unnamee -rr),KKernnel必必須是22.4以以上版本本3. 演進歷程程介紹:- 舊版版Linnux 上使用用 IPP-Maasquueraade 的 IIP 偽偽裝以便便於達成成該功能能。- kerrnell 2.0.xx 時代代,是使使用 iipfwwadmm 程式式。(這這個說法法不算是是完全正正確)-
2、keerneel 22.1.x/22.2.x 時時代,則則是使用用 ippchaainss 程式式,poort forrwarrdinng需要要搭配iipmaasqaadm程程式來輔輔助才能能夠達成成。- kerrnell 2.3.xx/2.4.xx 時代代,使用用 neetfiilteer 過過濾機制制, 是是使用iiptaablees 程程式。!注意!(Keerneel 22.4 使用 nettfillterr prrojeect 的 ffireewalll 機機制,該該環境允允許使用用者使用用舊版iipchhainns設定定firrewaall,不不過要先先掛入iipchhainns模組
3、組。若是是系統已已經掛入入ipcchaiins模模組,要要先執行行# iipchhainns -F ; ippchaainss XX;rmmmodd ippchaainss 即可可開始使使用 iiptaablees 了了。4. 目前 kkernnel 2.44.x 配配合使用用nettfillterr核心過過濾機制制,可以以達到的的功能相相當強悍悍,neetfiilteer可提供的機制如下下:n 傳統 iipchhainns 的的任何功功能(來來源與目目的封包包過濾、導導向、偽偽裝)。n 提供 SSourrce NATT 與 Desstinnatiion NATT 的功功能。n 可以針對對特定
4、使使用者、群群組、PPID 等限制制網路連連結的過過濾存取取。n 可以設定定封包在在 Rooutiing Tabble 進出前前時先預預先處理理。n 可以針對對外面自自動建立立、與現現有連線線有關這這類連線線過濾處處理。n 可以針對對 Maac 卡卡號直接接處理。5. 使用ipptabbless前先確確認下列列核心功功能已設設定正確確:COONFIIG_PPACKKET、CONNFIGG_NEETFIILTEER、CONNFIGG_IPP_NFF_COONNTTRACCK、CONNFIGG_IPP_NFF_FTTP、CONNFIGG_IPP_NFF_IPPTABBLESS、CONNFIGG_I
5、PP_NFF_MAATCHH_LIIMITT、CONNFIGG_IPP_NFF_MAATCHH_MAAC、CONNFIGG_IPP_NFF_MAATCHH_MAARK、CONFFIG_IP_NF_MATTCH_MULLTIPPORTT、CONNFIGG_IPP_NFF_MAATCHH_TOOS、CONNFIGG_IPP_NFF_MAATCHH_TCCPMSSS、CONNFIGG_IPP_NFF_MAATCHH_STTATEE、CONNFIGG_IPP_NFF_MAATCHH_UNNCLEEAN、CONNFIGG_IPP_NFF_MAATCHH_OWWNERR、CONNFIGG_IPP_NFF_
6、FIILTEER、CONNFIGG_IPP_NFF_TAARGEET_RREJEECT、CONNFIGG_IPP_NFF_TAARGEET_MMIRRROR、CONNFIGG_IPP_NFF_NAAT、CONNFIGG_IPP_NFF_TAARGEET_MMASQQUERRADEE、CONNFIGG_IPP_NFF_TAARGEET_RREDIIRECCT、CONNFIGG_IPP_NFF_TAARGEET_LLOG、CONNFIGG_IPP_NFF_TAARGEET_TTCPMMSS、CONNFIGG_IPP_NFF_COOMPAAT_IIPCHHAINNS、CONNFIGG_IPP_NFF
7、_COOMPAAT_IIPFWWADMM。二、基本本原理1. iptaablees預設設的Tabble & CChaiins組組合(UUserr可以自自訂chhainns)過濾表(Tabble)說明filtter過濾透通通本機的的封包 (預設設)nat轉譯封包包位址資資訊manggle修改或標標註封包包Forwwardd Paackeet PProccesssinggInpuut PPackket ProocesssinngOutpput Pacckett Prroceessiing2. 各種封包包的處理理流程(一)3. 各種封包包的處理理流程(二)規則鏈(chains)執行時機PREROUT
8、ING封包進入本機,在判斷路由前INPUT通過路由表後,目的地為本機FORWARD通過路由表後,目的地不是本機OUTPUT由本機主動建立的封包,在通過路由表前POSTROUTING通過路由表後,要發送出去前4. 封包過濾濾流程(三)PREROUTINGINPUTOUTPUTFORWARDPOSTROUTINGLocal ProcessRoute Table5. IP PPackket Heaaderr三、指令令介紹1. iptaablees 指指令包含含以下四四項元件件:n tabllen ACTIION n rulee sppeciificcatiion - ppattternn n ext
9、eensiion neetfiilteer處理理判斷順順序:Tabbless Chhainns RRulees PPoliicy#iptables t filter A INPUT i eth0 p tcp s any/0 -sport 80 d 185.100.35.1 j ACCEPT指定table(預設為filter table)指定action指定比對rule指定rule延伸選項處理方式語法:# ipptabbless -t TTABLLE ACTTIONN PPATTTERNN -j TARRGETTl -t : 如不不指定預預設為 fillterr taablee,可指定定為”-t
10、 nnat”或或”-tt maanglle”l ACTIION:要操作作的動作作,若未未指定哪哪個Chhainn,則為為該Taablee中所有有的Chhainns。常常用的指指令包含含ACTIION指指令長指令說明-L CCHAIIN-liist CHAAIN顯示 CCHAIIN 中中的所有有規則-A CCHAIIN-apppennd CCHAIIN對CHAAIN 新增一一條規則則-D CCHAIIN -deelette CCHAIIN 刪除 CCHAIIN 中中的一條條規則-I CCHAIIN -innserrt CCHAIIN 在 CHHAINN 中插插入一條條規則-R CCHAIIN -
11、reeplaace CHAAIN 替換 CCHAIIN 中中的某一一條規則則-P CCHAIIN -pooliccy CCHAIIN 對CHAAIN設設定預設設的Pooliccy;只只有內建建的chhainns可以以指定ppoliicy;pollicyy不可指指定為另另一個cchaiin-F CCHAIIN-fllushh CHHAINN清除CHHAINN中所有有規則-N UUSERR-CHHAINN-neew-cchaiin UUSERR-CHHAINN自訂一個個USEER-CCHAIIN-X UUSERR-CHHAINN-deelette-cchaiin UUSERR-CHHAINN刪除自
12、訂訂的USSER-CHAAIN-Eolld-cchaiinneew-cchaiin-reenamme-cchaiin oold-chaainnnew-chaain更名自訂訂的USSER-CHAAIN-h icmmpHelpp 列列出iccmp typpe清單單l PATTTERNN:設定定比對條條件的參參數(下下列長長、短參參數擇一使使用即可可;參數數值前面面加”!”代表表”Noot”)短參數長參數參數值說明-p-prrotoocollPROTTOCOOL名稱稱或號碼碼(0=alll)通訊協定定為 PPROTTOCOOL 者者,PRROTOOCOLL: ttcp, uddp, icmmp, a
13、lll 或者者為 /etcc/prrotoocolls 內內所記錄錄的協定定-s-soourcceADDRRESSS poort指定 SSourrce IP Addrresss為ADDDREESS poort-d-deestiinattionnADDRRESSS poort指定 DDesttinaatioon IIP AAddrresss為 AADDRRESSS pportt-i-inn-innterrfacceINTEERFAACE+指定封包包進入的的網路卡卡介面(ethh0,eeth11,pppp0),eeth+為所有有ethh介面卡卡-o-ouut-iinteerfaaceINTEERF
14、AACE+封包輸出出的網路路卡介面面-m-maatchhMATCCH指定進階階的選項項-n-nuumerric以數字表表示主機機(IPP),服服務(pportt)資訊訊-liine-nummberrs搭配-LL使用可可列出rrulee編號-v-veerboose詳細輸出出若 PRROTOOCOLL 為 tcpp(-pp tccp),則另外外可設定定的參數數(參數數值前面面加”!”代表表”Noot”)短參數長參數參數值說明-spportt-soourcce-pporttn:m指定來源源Porrt為nn到m的的範圍(例如:10223以上上10223: ) 0655535-dpportt-deestiinattionn-poortn:m指定目的的Porrt為nn到m的的範圍(例如:2566以下 :2566 ) 006555355-tccp-fflaggsmaskk coomp指定TCCP協定定中的旗旗號,可可使用的的旗號包包含:SSYN
