利用iptables构建自己的防火墙

1、防火墙防火墙I2010-11课程内容课程内容l 防火墙概述l Linux下防火墙简介l Netfilter 与iptables关系l Netfilter的功能l iptables命令介绍l 实验题目 防火墙概述 引入防护墙的原因； 防火墙的定义； 防火墙的类型；引入防火墙原因（1）无防火墙时网络中计算机通讯情况引入防火墙的原因（2）有防火墙的网络通讯防火墙的定义 防火墙： 是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的类型 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类：包过滤应用层代理电路层代理状态检查Linux下防火墙简介2.0.X 内核 ipfwad

2、m2.2.X 内核 ipchains2.4.X 内核 netfilter/iptables2.6.16以上 netfilter/iptables重新设计Netfilter功能Filter： 实现包过滤与状态防火墙的功能；NAT： 实现NAT的功能，实现数据包的地址转换，允许修改数据包的源和目标地址、端口等Mangle：借助这种机制对经过防火墙的数据包进行修改；Raw： 负责加快数据包穿越防火墙的速度，以此提高防火墙的性能；Netfilter与iptables的关系虽然 netfilter/iptables IP 信息包过滤系统作为一个整体看待，但是其实他们一个是该过滤系统的两个组件，netfi

3、lter是内核的模块实现，iptables是对上层操作工具 netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要从 下载该工具并安装使用它。 iptables是一个管理内核包过滤的工具，可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些过滤规则的是Netfilt

4、er。Netfiler是Linux核心中一个通用架构，它提供一系列的表（tables），每个表由若干链（chains）组成，而每条链中可以由一条或数条规则（rule）组成中文：中文： http:/ 版本：版本：.19英文：英文： http:/iptables- 版本：版本：.2Iptables命令介绍Iptables基本命令 iptables命令的语法一般如下：Iptables -flags chain optionsextensions ACTION iptables标志项与命令 -t table：制定要操作的表 -A：将一条或多条规则附加到指定链的末尾 -

5、D：从链中删除某个规则 -P：设置链的缺省目标 -L：查看规则设置 -F：清除规则 iptables选项：-p：指定协议 -d：指定目标地址 -s：指定源地址Iptables基本命令iptables选项： -dport：指定目标端口 -sport：指定源端口iptables事件项： ACCEPT:允许数据包通过 DROP:将数据包丢弃掉，这种方式会导致源端误认为数据包丢失，而不断发送新包，直到连接Timeout为止； REJECT:将数据包丢弃，并回送一个destination unreachable的ICMP数据包给发送端，发送端收到这个数据包后，会立即终止连接动作。Iptables中的表i

6、ptables 可以操纵3 个表： filter 表 nat 表 mangle 表 raw 表如果不指定，则默认操作filter表每个表由若干 “链”（chains）组成每条链由一条或数条 “规则” 组成链系统缺省的表为“filter”，该表中包含了3 个链： INPUT：网络上其他主机发给本机的数据包； FORWARD：由本机转发的数据包； OUTPUT：本机发送出去的数据包；每一条规则都是这样定义的： 如果数据包头符合这样的条件，就这样处理这个数据包。 当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件 如果满足，系统将根据该条规则所定义的方法处理该数据包

7、；如果不满足则继续检查下一条规则 如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略来处理该数据包Filter完整结构图列出防火墙当前的规则：iptables -t filter 表名 L 链名 清除table中的规则iptables t filter -F设定默认规则iptables -t filter表名 P INPUT链名 DROP添加规则最简单的方式Iptables t filter 表名 A INPUT链名 p icmp协议名 j ACCEPT动作限制连接Iptables t filter A INPUT p icmp s 93 DROP -

8、s后接的地址可以为某台主机的IP地址、某一个网段的网络地址，也可以是某个网站的域名-d 同上-dport:限制目的端口-sport:限制源端口编写shell脚本在在linux分分区区上上编写编写，如，如cd /home/vi iptest.sh#!/bin/shXXXXXXXchmod +x iptest.sh./iptest.sh在启动时自动加载规则在在/etc/rc.local/etc/rc.local中加入需要中加入需要执执行脚本的行脚本的绝对绝对路路径径在在启动启动目目录录里面添加里面添加 使用使用lnln命令，在命令，在/etc/rc.d/rc3.d/etc/rc.d/rc3.d加入

9、加入启启动动命令命令 ln -s /home/hxq/iptest.sh S92firewallln -s /home/hxq/iptest.sh S92firewall 确确认认iptablesiptables已已经启动经启动：lsmod | grep ilsmod | grep iptableptable本次课要求（一）1. 修改本机ip为10.3.4.（X100），其中X为WinXP IP的最后一位2. 编写脚本iptest.sh，功能如下：1. iptest.sh清空所有存在的规则；2. 只开放22号端口（ssh、tcp）；3. 禁止发送icmp包；4. INPUT默认规则为DROP；5