10linux防火墙.ppt

第十章 Linux 包过滤防火墙本章学习要求?掌握使用 iptables 工具实现包过滤防火墙?掌握 NAT 的类型及实现 1 Linux 属于包过滤型防火墙,包过滤内建在内核中。包过滤是一种软件:它检查通过的每个数据包的头部,然后决定如何处理这些数据包,如丢弃(DROP )、允许( ACCEPT )或其它更复杂的操作。在Netfilter 的网站( )上,可以 filter 的一个子项目 patch-o-matic-ng ,其中收录了大量的各种定制的 kernel modules 。用户可将这些 modules filter 中,这样就会大大增加防火墙的扩展功能,如添加上 time 和ipp2p 模块后,防火墙就可以设置按时间禁止/ 允许 p2p 资源的使用规则。 2 和iptables Netfilter 定义了协议栈中的检查点和在检查点上引用的数据结构,以及在检查点上对这些结构引用的过程。它由以下四个部分组成: ①每个协议定义了“挂钩( hooks )”(如 IPv4 定义为 5 ),用来很好地定义遍历那个协议栈的指针。在每一个指针上,filter 框架。 3 ②对于每一个协议来说,内核部分能常驻监听不同的挂钩。filter 框架的时候, 它会被检查是否已经驻在了那个协议和挂钩;如果是, 它们每一个都有一个机会( 也许交替地) 按照顺序检查一遍包,然后执行操作,如丢弃包(NF_DROP) 、允许包经过(EPT) 、忘记包(NF_STOLEN) filter 为用户空间排列包(NF_QUEUE) 。③那些被选择了排列后送往用户空间的包( 按照 ip_queue 驱动),这些包将被异步处理。 4 ④代码中的注释和文档组成。图10-1 filter 的检查点上引用的数据结构( nf_hook_ops )及框架 NF_IP_PRE_ROUTING Conntrack Mangle NAT(Dst) NF_IP_PRE_ROUTING Conntrack Mangle NAT(Dst) NF_IP_FORWARD Mangle Filter NF_IP_FORWARD Mangle Filter NF_IP_POST_ROUTING Mangle NAT(Src) Conntrack NF_IP_POST_ROUTING Mangle NAT(Src) Conntrack ROUTE(1) ROUTE(1) ROUTE(2) ROUTE(2) NF_IP_LOCAL_IN Mangle NAT(Src) Conntrack NF_IP_LOCAL_IN Mangle NAT(Src) Conntrack NF_IP_LOCAL_OUT Conntrack Mangle Filter NF_IP_LOCAL_OUT Conntrack Mangle Filter 数据链路层传输层图10-1 IPv4 中的检查点及框架 5 ① NF_IP_PRE_ROUTING 处对所有传入 IP 层的数据包进行检查。在这之前,有关数据包的版本、长度、校验和等正确性检查已经完成。②NF_IP_LOCAL_IN 对发往本机上层的数据包进行检查。③NF_IP_POST_ROUTING 处对所有向数据链路层传递的数据包进行检查,注意在此处数据包的路由已经确定。④NF_IP_FORWARD 处检查需要转发的数据包。 6 ⑤NF_IP_LOCAL_OUT 对本机发出的包进行检查,此处的路由还没有确定,所以可以做目的地址转换。⑥ROUTE(1) 处对收到的数据包做路由查找并判断这个数据包是需要转发的包还是发往本机上层的包。⑦ROUTE(2) 处查找发出数据包的路由。 iptables iptables filter 规则和管理内核包过滤的工具,为用户配置防火墙规则提供了方便。 iptables 定义了实现防火墙规则的组织及对规则的操作。一个规则中包含零个或多个 match 和一个 target 。 7 Chain 、rule 和table 三者的关系是: table 是实现某项功能所有规则的总和; chain 是在某个检查点上所引用规则的集合; rule 是一个单独的规则。 iptables 作为一个管理内核包过滤的工具,可以添加( Append )、插入( Insert )和删除( Delete ) 链中的规则。filter 及其相关模块(如 iptables 模块和 NAT 模块等)。使用 Linux 系统架构防火墙时,内核版本至少为 版本及 iptables 软件包,而这些在 Red Hat Linux 9/AS3/AS4/AS5 的发行版本中,系统都