构建Linux环境下Iptables防火墙策略.pdfVIP

中国科技论文在线 构建Linux 环境下Iptables 防火墙策略 赵富 中国矿业大学计算机科学技术学院，江苏 徐州 (221008) E-mail:zf560@126.com 摘 要：Linux 操作系统的Iptables 管理工具是一种基于包过滤型防火墙工具，利用Iptables 工具，通过设置规则，可以实现Linux 环境下防火墙的功能。本文在介绍了Iptables 工具及 其工作原理后，构建了默认的Iptables 策略。 关键词：防火墙；Linux；规则集；Iptables 中图分类号：TP393.08 1．引言 随着计算机网络技术的不断发展和网络应用的日益普及，网络安全已成为一个不可避免 的话题。网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大 的作用。随着网络规模的不断扩大与应用技术的不断进步，越来越多的业务需要对数据包进 行实时、快速的分类过滤。数据包过滤技术是防火墙的基本技术，它对 IP 数据包的包头进 行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。 近年来 Linux 得到了迅速的发展，这既得益于它的自由软件属性和稳定、高效、健壮 的内核,也与 Linux 是一个高性能的网络操作系统密不可分。Linux2.4 内核中Netfilter/Iptables 的出现，为构建Linux 下防火墙提供了很好的平台。Iptables 是在 Linux 操作系统下基于 2.4 之上内核版本的集成网络安全工具包。该工具通过编程可以实现多种网络安全功能，如：数 据包过滤、状态保持、NAT （Network Address Translation ，网络地址翻译) 以及抵抗攻击等 等。利用该工具可以在任意配置下的服务器、PC 机上实现安全稳定、功能强大的防火墙， 因此它被企业和高校广泛采用，成为一种比较成熟的技术。由于Netfilter/Iptables 新型内核 防火墙功能的增强,所以对其应用的深入研究也已引起重视。本文就是基于 Iptables 工具构建 了Linux 防火墙的默认策略。 2 ．Linux 下的 Iptables 工具 Iptables 组件是一种工具，也称为用户空间（userspace ），它使插入、修改和除去信息包 过滤表中的规则变得容易。 2.1 Iptables 语法及组成 Iptables 是 Ipchains 的后续工具，是用户空间中用于管理包过滤及NAT 等的工具应用程 序。它设置防火墙的过滤规则，并将规则添加到内核空间的特定信息包过滤表内的链中，通 过 Netfilter 框架的 hook 函数完成对数据包的过滤工作。它还可以设置 nat 表的规则实现 IP 地址及端口转换，设置 mangle 表的规则改变 IP 头部信息以实现对 IP 包更高级的控制[1] 。 基本语法为： Iptables –t table –Operation chain matching-criteria –j target Iptables 命令有操作的表、该表的哪个链、进行的操作（插入，添加，删除，修改）、目 标动作和匹配条件。以下将详细说明 Iptables 命令中的各参数。 2.1.1 规则表和规则链 Iptables 命令使用-t table 选择规则表，规则表三种：filter、nat 和 mangle 。默认是filter 。 -1- 中国科技论文在线 Filter 表包含INPUT、OUTPUT 和FORWARD 规则链，nat 表包含PREROUTING 、OUTPUT 和 POSTROUTING 规则链。Mangle 包含 PREROUTING 和 OUTPUT 链。Iptables 的规则链 组织结构如图 1 所示。 图 1 Iptables 规则链组织结构图[1] 从图 1 可以