-6--linux防火墙配置课件.pptVIP

防火墙 防火墙简介 iptables组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。 iptables基础 ? 规则（rules） ? 链（chains） ? 表（tables） ? iptables传输数据包的过程 规则（rules） 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。 链（chains） 链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。 表（tables） 表（tables）提供特定的功能，iptables内置了3个表，即filter表、nat表和mangle表，分别用于实现包过滤，网络地址转换和包重构的功能。 1．filter表 2．nat表 3．mangle表 表（tables） 1.filter表 主要用于过滤数据包，该表根据系统管理员预定义的一组规则过滤符合条件的数据包。 它是iptables默认的表，包含了IPPUT链（处理进入的数据包）、FORWARD链（处理转发的数据包）和OUTPUT链（处理本地生成的数据包）。在filter表中，只允许对数据包进行接受、丢弃的操作，而无法对数据包进行更改。 表（tables） 2.nat表 主要用于网络地址转换NAT，该表包含了PREROUTING链（修改即将到来的数据包）、OUTPUT链（修改在路由之前本地生成的数据包）和POSTROUTING链（修改即将出去的数据包）。 3.mangle表 主要用于对指定的包进行修改，因为某些特殊应用可能需要去改写数据包的一些传输特性，如TTL等。用得比较少。包括PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五个链。 iptables传输数据包的过程 iptables传输数据包的过程 ① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。 ② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。 ③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。 iptables命令格式 iptables的命令格式较为复杂，一般的格式如下： iptables [-t 表] -命令 匹配 操作 1．表选项 表选项用于指定命令应用于哪个iptables内置表，iptables内置包括filter表、nat表和mangle表。 2．命令选项 iptables命令格式 iptables命令格式 3．匹配选项 iptables命令格式 iptables命令格式 4．动作选项 iptables命令格式 iptables的使用 1．定义默认策略 当数据包不符合链中任一条规则时，iptables将根据该链预先定义的默认策略来处理数据包，默认策略的定义格式如下。 iptables [-t 表名] -P 链名 动作 参数说明如下。 ? [-t 表名]：指默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。 iptables的使用 ? -P：定义默认策略。 ? 链名：指默认策略将应用于哪个链，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。 ? 动作：处理数据包的动作，可以使用ACCEPT（接受数据包）和DROP（丢弃数据包）。 例子：filter表默认接收 iptab