《利用iptables构建自己的防火墙PPT课件》由会员分享,可在线阅读,更多相关《利用iptables构建自己的防火墙PPT课件(25页珍藏版)》请在金锄头文库上搜索。
1、防火墙防火墙I I2010-112010-111课程内容课程内容l 防火墙概述l Linux下防火墙简介l Netfilter 与iptables关系l Netfilter的功能l iptables命令介绍l 实验题目 2防火墙概述引入防护墙的原因;防火墙的定义;防火墙的类型;3引入防火墙原因(1)无防火墙时网络中计算机通讯情况4引入防火墙的原因(2)有防火墙的网络通讯5防火墙的定义 防火墙: 是在两个网络间实现访问控制的一个或一组软件或硬件系统。6防火墙的类型防火墙的存在形式:软件、硬件。根据防范方式和侧重点的不同可分为四类:包过滤应用层代理电路层代理状态检查7Linux下防火墙简介2.0.
2、X 内核 ipfwadm2.2.X 内核 ipchains2.4.X 内核 netfilter/iptables2.6.16以上 netfilter/iptables重新设计8Netfilter功能Filter: 实现包过滤与状态防火墙的功能;NAT: 实现NAT的功能,实现数据包的地址转换,允许修改数据包的源和目标地址、端口等Mangle:借助这种机制对经过防火墙的数据包进行修改;Raw: 负责加快数据包穿越防火墙的速度,以此提高防火墙的性能;9Netfilter与iptables的关系虽然 netfilter/iptables IP 信息包过滤系统作为一个整体看待,但是其实他们一个是该过滤
3、系统的两个组件,netfilter是内核的模块实现,iptables是对上层操作工具 netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要从 netfilter.org 下载该工具并安装使用它。 iptables是一个管理内核包过滤的工具,可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些
4、过滤规则的是Netfilter。Netfiler是Linux核心中一个通用架构,它提供一系列的表(tables),每个表由若干链(chains)组成,而每条链中可以由一条或数条规则(rule)组成10中文:中文:http:/ -flags chain optionsextensions ACTIONiptables标志项与命令 -t table:制定要操作的表-A:将一条或多条规则附加到指定链的末尾-D:从链中删除某个规则-P:设置链的缺省目标-L:查看规则设置-F:清除规则 iptables选项:-p:指定协议 -d:指定目标地址 -s:指定源地址12Iptables基本命令iptables
5、选项:-dport:指定目标端口-sport:指定源端口iptables事件项:ACCEPT:允许数据包通过DROP:将数据包丢弃掉,这种方式会导致源端误认为数据包丢失,而不断发送新包,直到连接Timeout为止;REJECT:将数据包丢弃,并回送一个destination unreachable的ICMP数据包给发送端,发送端收到这个数据包后,会立即终止连接动作。13Iptables中的表iptables 可以操纵3 个表:filter 表nat 表mangle 表raw 表如果不指定,则默认操作filter表每个表由若干 “链”(chains)组成每条链由一条或数条 “规则” 组成14链系
6、统缺省的表为“filter”,该表中包含了3 个链:INPUT:网络上其他主机发给本机的数据包;FORWARD:由本机转发的数据包;OUTPUT:本机发送出去的数据包;每一条规则都是这样定义的:如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包15Filter完整结构图16列出防火墙当前的规则:iptables -t filter 表名 L 链名
7、 17清除table中的规则iptables t filter -F18设定默认规则iptables -t filter表名 P INPUT链名 DROP19添加规则最简单的方式Iptables t filter 表名 A INPUT链名 p icmp协议名 j ACCEPT动作20限制连接Iptables t filter A INPUT p icmp s 192.168.0.193 DROP -s后接的地址可以为某台主机的IP地址、某一个网段的网络地址,也可以是某个网站的域名-d 同上-dport:限制目的端口-sport:限制源端口21编写shell脚本在在linuxlinux分区上编写
8、,如分区上编写,如cd /home/cd /home/vi iptest.shvi iptest.sh#!/bin/sh#!/bin/shXXXXXXXXXXXXXXchmod +x iptest.shchmod +x iptest.sh./iptest.sh./iptest.sh22在启动时自动加载规则在在/etc/rc.local/etc/rc.local中加入需要执行脚本的绝对中加入需要执行脚本的绝对路径路径在启动目录里面添加在启动目录里面添加使用使用lnln命令,在命令,在/etc/rc.d/rc3.d/etc/rc.d/rc3.d加入启动加入启动命令命令ln -s /home/hxq
9、/iptest.sh S92firewallln -s /home/hxq/iptest.sh S92firewall确认确认iptablesiptables已经启动:已经启动:lsmod | grep lsmod | grep iptableiptable23本次课要求(一)1.修改本机ip为10.3.4.(X100),其中X为WinXP IP的最后一位2.编写脚本iptest.sh,功能如下:1.iptest.sh清空所有存在的规则;2.只开放22号端口(ssh、tcp);3.禁止发送icmp包;4.INPUT默认规则为DROP;5.OUTPUT默认规则为ACCEPT;6.FORWARD默认规则为DROP ;3.iptest.sh能随系统启动。24本次课要求(二)1.编写脚本iptest2.sh,功能如下:1.不iptest.sh清空所有存在的规则的情况下;2.只允许icmp通过;3.禁止22号服务。25
