Linux iptables防火墙设置教程:实现网络安全防护

iptables
需积分: 10 2 下载量 169 浏览量 更新于2024-07-22 收藏 376KB PDF 举报
"iptables是Linux系统中一种广泛使用的网络包过滤防火墙工具,它属于早期的封包过滤式防火墙技术,基于TCP/IP协议栈中的IP层,通过检查每个IP数据包的头部信息来决定是否允许其通过。封包过滤器的核心功能包括检查源IP、目标IP、端口、封包方向、接口以及TCP连接状态等,并依据预设的规则执行放行、丢弃或拒绝操作。 在Linux环境下,由于其开源特性以及低成本的优势,iptables成为许多学校和其他组织构建软件防火墙的理想选择。作者李忠宪通过本文,旨在介绍如何利用iptables来创建一套适合学校需求的防火墙规则,特别是针对预算有限的教育机构。他强调了iptables的强大功能和灵活性,以及在实际应用中如何配置和管理防火墙策略,如设置入站规则、出站规则、转发规则等,以确保校园网络的安全和控制。 iptables的工作原理涉及以下几个关键步骤: 1. 定义规则集:管理员通过编写iptables命令或者使用配置文件来定义过滤规则,这些规则根据数据包的不同属性(如源地址、目标地址、端口号)进行匹配。 2. 应用规则:iptables将这些规则应用到网络流量上,对每个经过的数据包进行检查,根据规则决定是否允许其通过或采取其他操作。 3. 优化性能:iptables支持链(chains)的概念,允许在网络包处理流程的不同阶段应用不同的规则,提高了防火墙的效率。 尽管iptables提供了基本的防火墙功能,但随着网络安全需求的增长,应用层网关和电路层网关防火墙也在发展中,它们可能提供更高级别的服务,如应用级的认证和代理功能。然而,iptables因其简洁易用和高度可定制性,依然在很多场景下扮演着核心角色,尤其是在资源受限的环境中,它是实现网络安全的一种经济有效的解决方案。"

基于iptables的Linux防火墙

168 浏览量
基于iptables的Linux防火墙的实验报告

构筑Linux防火墙之IPtables的概念与用法

535 浏览量
防火墙典型的设置是有两个网卡,一个流入,一个流出。iptables读取流入和流出的数据包的报头,然后将它们与规划集(ruleset)相比较,然后将可接受的数据包从一个网卡转发至另外一个网卡。对于被拒绝的数据包,可以被丢弃或者按照你所定义的方式来处理。

通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令的规则,控制信息包的过滤。通过使用iptables系统提供的特殊命令 iptables,建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中。关于添加、除去、编辑规则的命令的一般语法如下:
iptables [-t table] command [match] [target]
现实中,为了易读,我们一般都用这种语法。大部分规则都是按这种语法写的,因此,如果看到别人写的规则,你很可能会发现用的也是这种语法。

如果不想用标准的表,就要在[table]处指定表名。一般情况下没有必要指定使用的表,因为iptables 默认使用filter表来执行所有的命令。也没有必要非得在这里指定表名,实际上几乎可在规则的任何地方指定表名。当然,把表名放在开始处已经是约定俗成的标准。尽管命令总是放在开头,或者是直接放在表名后面,我们也要考虑到底放在哪儿易读。

“command”告诉程序该做什么,比如:插入一个规则,还是在链的末尾增加一个规则,还是删除一个规则。下面会仔细地介绍。

“match”细致地描述了包的某个特点,以使这个包区别于其它所有的包。在这里,我们可以指定包的来源IP 地址、网络接口、端口、协议类型,或者其他什么。下面我们将会看到许多不同的match。

最后是数据包的目标所在“target”。若数据包符合所有的match,内核就用target来处理它,或者说把包发往target。比如,我们可以让内核把包发送到当前表中的其他链(可能是我们自己建立的),或者只是丢弃这个包而不做任何处理,或者向发送者返回某个特殊的应答。下面我们来逐个讨论这些选项:


表(table)

[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项:filter、nat 和 mangle。该选项不是必需的,如果未指定,则filter用作缺省表。下面介绍各表实现的功能。

filter

filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。我们就是在这里根据包的内容对包做DROP或ACCEPT的。当然,我们也可以预先在其他地方做些过滤,但是这个表才是设计用来过滤的。几乎所有的target都可以在这儿使用。

nat

nat表的主要用处是网络地址转换,即Network Address Translation,缩写为NAT。做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。

如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自动地被做相同的操作。也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址,如果需要的话。OUTPUT链改变本地产生的包的目的地址。

POSTROUTING链在包就要离开防火墙之前改变其源地址此表仅用于NAT,也就是转换包的源或目标地址。注意,只有流的第一个包会被这个链匹配,其后的包会自动被做相同的处理。实际的操作分为以下几类:

◆ DNAT

◆ SNAT

◆ MASQUERADE

DNAT操作主要用在这样一种情况,你有一个合法的IP地址,要把对防火墙的访问 重定向到其他的机子上(比如DMZ)。也就是说,我们改变的是目的地址,以使包能重路由到某台主机。

SNAT改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。一个很好的例子是我们知道防火墙的外部地址,但必须用这个地址替换本地网络地址。有了这个操作,防火墙就 能自动地对包做SNAT和De-SNAT(就是反向的SNAT),以使LAN能连接到Internet。

如果使用类似 192.168.0.0/24这样的地址,是不会从Internet得到任何回应的。因为IANA定义这些网络(还有其他的)为私有的,只能用于LAN内部。

MASQUERADE的作用和MASQUERADE完全一样,只是计算机 的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的DHCP随机分配的。
Mangle

这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容,比如 TTL,TOS或MARK。 注意MARK并没有真正地改动数据包,它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序(如tc)可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链: PREROUTING,POSTROUTING, OUTPUT,INPUT和 FORWARD。

PREROUTING在包进入防火墙之后、路由判断之前改变包,POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后,但在用户空间的程序看到它之前改变包。注意,mangle表不能做任何NAT,它只是改变数据包的TTL,TOS或MARK,而不是其源目的地址。NAT是在nat表中操作的,以下是mangle表中仅有的几种操作:

◆ TOS

◆ TTL

◆ MARK

TOS操作用来设置或改变数据包的服务类型域。这常用来设置网络上的数据包如何被路由等策略。 注意这个操作并不完善,有时得不所愿。它在Internet上还不能使用,而且很多路由器不会注意到这个域值。换句话说,不要设置发往Internet的包,除非你打算依靠TOS来路由,比如用iproute2。

TTL操作用来改变数据包的生存时间域,我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由,那就是我们可以欺骗一些ISP。为什么要欺骗他们呢?因为他们不愿意让我们共享 一个连接。

那些ISP会查找一台单独的计算机是否使用不同的TTL,并且以此作为判断连接是否被共享的标志。

MARK用来给包设置特殊的标记。iproute2能识别这些标记,并根据不同的标记(或没有标记) 决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。

命令(command)

命令中必要的组成部分command是iptables命令的最重要部分。它告诉 iptables 命令要做什么,例如,插入规则、将规则添加到链的末尾或删除规则。

在使用iptables时,如果必须的参数没有输入就按了回车,那么它就会给出一些提示信息,告诉你需要哪些参数等。iptables的选项-v用来显示iptables的版本,-h给出语法的简短说明。

匹配(match)

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源和目的地地址、协议等)。可把它们归为五类:第一类是generic matches(通用的匹配),适用于所有的规则;第二类是TCP matches,顾名思义,这只能用于TCP包;第三类是UDP matches, 当然它只能用在UDP包上了;第四类是ICMP matches ,针对ICMP包的;第五类比较特殊,针对的是状态,指所有者和访问的频率限制等。在此,只介绍通用匹配,熟悉了通用匹配,其它的几种也就比较容易理解了。

目标(target)

我们已经知道,目标是由规则指定的操作,那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。用于建立高级规则的目标,如LOG、REDIRECT、MARK、MIRROR 和MASQUERADE等。

状态机制

状态机制是iptables中特殊的一部分,其实它不应该叫状态机制,因为它只是一种连接跟踪机制。但是,很多人都认可状态机制这个名字。连接跟踪可以让netfilter知道某个特定连接淖刺T诵辛痈俚姆阑鹎匠谱鞔凶刺频姆阑鹎剑韵录虺莆刺阑鹎健W刺阑鹎奖确亲刺阑鹎揭踩蛭市砦颐潜嘈锤厦艿墓嬖颉?BR>
在iptables里,包是和被跟踪连接的四种不同状态有关的。它们是NEW、ESTABLISHED、RELATED和INVALID。使用--state匹配操作,我们能很容易地控制“谁或什么能发起新的会话”。

所有在内核中由netfilter的特定框架做的连接跟踪称作conntrack(就是connection tracking的首字母缩写)。conntrack可以作为模块安装,也可以作为内核的一部分。大部分情况下,我们需要更详细的连接跟踪。因此,conntrack中有许多用来处理TCP、UDP或ICMP协议的部件。这些模块从数据包中提取详细的、唯一的信息,因此能保持对每一个数据流的跟踪。这些信息也告知conntrack流当前的状态。例如,UDP流一般由他们的目的地址、源地址、目的端口和源端口唯一确定。

在以前的内核里,我们可以打开或关闭重组功能。然而,自从iptables和netfilter,尤其是连接跟踪被引入内核,这个选项就被取消了。因为没有包的重组,连接跟踪就不能正常工作。现在重组已经整合入conntrack,并且在conntrack启动时自动启动。不要关闭重组功能,除非你要关闭连接跟踪。

除了本地产生的包由OUTPUT链处理外,所有连接跟踪都是在PREROUTING链里进行处理的,意思就是说iptables会在PREROUTING链里重新计算所有的状态。如果我们发送一个流的初始化包,状态就会在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。综上所述,所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。

正如前面说的,包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里,只有4种状态:NEW、ESTABLISHED、RELATED和INVALID。它们主要是和状态匹配一起使用。

NEW

NEW说明这个包是我们看到的第一个包。意思就是,这是conntrack模块看到的某个连接第一个包,它即将被匹配了。比如,我们看到一个SYN包,是我们所留意的连接的第一个包,就要匹配它。第一个包也可能不是SYN包,但它仍会被认为是NEW状态。
ESTABLISHED

ESTABLISHED已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答,连接就是ESTABLISHED的了。一个连接要从NEW变为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED,只要它们是我们所发出的信息的应答。

RELATED

RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。换句话说,一个连接要想是RELATED的,首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是RELATED的了,当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子,FTP-data 连接就是和FTP-control有RELATED的。

INVALID

INVALID说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个连接的ICMP错误信息。一般地,我们DROP这个状态的任何东西。

这些状态可以一起使用,以便匹配数据包。这可以使我们的防火墙非常强壮和有效。以前,我们经常打开1024以上的所有端口来放行应答的数据。现在,有了状态机制,就不需再这样了。因为我们可以只开放那些有应答数据的端口,其他的都可以关闭。这样就安全多了。




linux下防火墙iptables

923 浏览量
linux下防火墙iptables 一、基本知识 二、iptable的安装与配置 禁止端口的实例 强制访问指定的站点 发布内部网络服务器 通过NAT上网 iptables实例

Linux iptables防火墙构建详解:实现网络安全防护

点击了解资源详情
"使用iptables建设Linux防火墙"是一篇关于在Linux系统中设置和管理网络安全的实用指南。文章由李忠宪撰写,着重介绍了iptables——一个强大的包过滤式防火墙,它是Linux系统中最常用的软件防火墙解决方案。iptables...

Linux网站建设指南

2007-05-01 上传
在Linux环境下进行网站建设是一项技术性较强的工作,但也是许多开发者和运维人员的必备技能。Linux以其开源、稳定和高效的特点,成为了服务器领域的首选操作系统。本指南将深入浅出地介绍如何在Linux系统上构建一个...

Linux网站建设技术

2011-04-29 上传
1. 安全:配置防火墙(如iptables或ufw),启用SSH密钥认证,定期更新系统和软件,防止恶意攻击。 2. 性能:利用缓存技术(如Memcached或Redis),优化数据库查询,调整系统参数以提升性能。 七、监控与日志管理 ...

Linux网站建设技术指南

2009-07-08 上传
在Linux上,我们需关注防火墙配置(如iptables或firewalld)、SSL/TLS证书的使用以实现HTTPS加密,以及定期更新系统和应用程序以修复安全漏洞。此外,了解如何设置权限、限制SSH登录方式(如使用密钥对而非密码)也...

Linux 网站建设技术指南

2009-09-24 上传
本指南将深入探讨在Linux环境下进行网站建设的技术细节,包括基础架构、服务器配置、Web服务搭建、数据库管理以及安全防护等多个方面。 一、基础环境搭建 1. 安装Linux发行版:常见的Linux服务器发行版有Ubuntu、...

linux网站建设技术指南

114 浏览量
防火墙如iptables或ufw应配置为只允许必要的端口访问,SSL/TLS证书用于加密通信,防止数据被窃取。定期更新系统和软件,修补任何已知的安全漏洞,也是保持系统安全的关键。 此外,日志管理和性能监控也很重要。学会...

LINUX网站建设技术指南

2009-05-13 上传
9. **防火墙与安全设置**:iptables或ufw等工具用于设置防火墙规则,防止未授权访问。 10. **性能优化**:包括缓存技术(如Redis或Memcached)、负载均衡、页面静态化等,以提升网站响应速度和并发能力。 11. **...
jingyukxy
  • 粉丝: 15
上传资源 快速赚钱

最新资源