Linux防火墙及其配置

LINUX防火墙及其配置许永全15610093内容防火墙概述Iptables防火墙的安装和配置防火墙概述在计算机网络中，防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。它实际上是一种隔离技术，是在两个网络通讯时执行的一种访问控制策略，它能允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙的功能防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。1．防火墙的访问控制功能2．防火墙的防止外部攻击3．防火墙的地址转换4．防火墙的日志与报警5．防火墙的身份认证防火墙技术按照实现技术分类防火墙的基本类型有：包过滤型；代理服务型；状态检测型。防火墙的包过滤技术包过滤（PacketFilter）通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。防火墙的应用代理技术代理服务（ProxyService）系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。防火墙的状态检测技术状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状态检测检查OSI七层模型的所有层，以决定是否过滤，而不仅仅对网络层检测，状态检测型防火墙如图所示。状态检测技术首先由CheckPoint公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。IPTABLES简介Netfilter/iptables（以下简称为iptables）组成Linux平台下的包过滤防火墙，与大多数Linux下的软件一样，这个包过滤防火墙是免费的，它可以替代昂贵的商业级防火墙，完成数据包过滤、数据包重定向和网络地址转换（NAT）等功能。IPTABLES简介（续）iptables/netfilter包过滤防火墙其实由两个组件构成，一个是netfilter、一个是iptables。iptables只是一个管理内核包过滤的根据，它可以加入、插入或删除核心包过滤表格（链）中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包。也就是说，实际上真正执行这些过滤规则的是netfilter及相关模块（如iptables模块和nat模块）。netfilter是Linux内核中的一个通用架构，它提供了一系列的表（tables），每个表由若干个链（chains）组成，而每个链可以由一条或若干条规则（rule）组成。可以这样理解，netfilter是表的容器，表是链的容器，而链又是规则的容器。IPTABLES简介（续）系统缺省的表为“filter”，该表中包含了INPUT、FORWARD、OUTPUT等3个链。每一个链中有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则，系统就会根据该链预先定义的策略（policy）来处理该数据包。IPTABLES的规则、链和表在使用iptables之前，必须先理解规则、链和表的概念。下面就开始分别介绍这3个概念。IPTABLES的规则（RULES）规则就是网络管理员预定义的条件，规则一般定义为“如果数据包符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（TCP、UDP和ICMP）和服务类型（如HTTP、FTP和DNS）。当数据包与规则匹配时，iptables就会根据规则所定义的方法来处理这些数据包，如允许通过（ACCEPT）、拒绝（REJECT）和丢弃（DROP）等。配置防火墙主要就是添加、修改和删除这些规则。IPTABLES的链（CHAINS）链（chains）是数据包传播的路径，每一个链其实就是众多规则中的一个检查清单，每一个链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中的第一条规则开始检查，看该数据包是否满足规则所定义的条件，如果满足，系统就会根据该条规则所定义的方法处理该数据包，否则iptables将继续检查下一条规则。如果该数据包不符合链中任一套规则，iptables就会根据该链预先定义的默认策略来处理数据包。IPTABLES的表（TABLES）表（tables）提供特定的功能，iptables内置3个表，即filter表、nat表和managle表，分别用于实现包过滤、网络地址转换（nat）和包重构的功能。filter表。nat表managle表IPTABLES传输数据包的过程iptables对数据包的传输有特定的处理过程。如图所示。IPTABLES传输数据包的过程（续）当一个数据包进入网卡时，它首先进入PREROUTING链，系统根据数据包的目的地址判断是否需要转发出去。可能有以下3种情况：如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则将该数据包发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢弃。如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该数据包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个数据包丢弃。如果数据包是由本地系统进程产生的，则系统将其发送到OUTPUT链，如果通过规则检查，则该数据包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢弃。防火墙的关闭由于系统的防火墙功能也是使用iptables实现的，因此系统会根据用户的设置在iptables添加相应的规则，这些规则可能会与本章后面的配置的规则相冲突。因此，在配置iptables防火墙之前，建议先关闭系统的防火墙功能。

[root@localhosthome]#setupfirewallIptables的配置IPTABLES的命令格式iptables的命令格式较为复杂，一般的格式如下：iptables[-t表]-命令

匹配

操作需要注意的是，iptables对所有的选项和参数都区分大小写，例如大写字母的-P参数和小写字母的-p参数代表着不同的意思。表选项表选项用于指定命令应用到哪个iptables内置表。iptables的内置表包括filter表、nat表和managle表。IPTABLES的命令选项命令选项用于指定iptables的执行方式，包括插入规则、删除规则和添加规则等。下表15-1为iptables的命令选项命令说明-P或--policy<链名>定义默认策略-L或--list<链名>查看iptables规则列表-A或--append<链名>在规则列表的最后增加1条规则-I或--insert<链名>在指定的位置插入1条规则-D或--delete<链名>在规则列表中删除1条规则-R或--replace<链名>替换规则列表中的某条规则-F或--flush<链名>删除表中的所有规则-Z或--zero<链名>将表中所有链的计数和流量计算器都清零IPTABLES的匹配选项匹配选项指定数据包与规则匹配所应具有的特征，包括源地址、目的地址、传输协议（如TCP、UDP、ICMP）和端口号（如80、21、25）等，如表15-2所示。下表15-2为iptables的匹配选项匹配说明-i或--in--interface<网络接口名>指定数据包是从哪个网络接口进入，如ppp0，eth0和eth1等-o或--out--interface<网络接口名>指定数据包是从哪个网络接口输出，如ppp0，eth0和eth1等-p或—proto<协议类型>指定数据包匹配的协议，如TCP、UDP和ICMP等-s或--source<源地址或子网>指定数据包匹配的源地址-sport<源端口号>指定数据包匹配的源端口号，可以使用“起始端口号：结束端口号”的格式指定一个端口的范围-d或--destination<目标地址与子网>指定数据包匹配的目标地址-dport<目标端口号>指定数据包匹配的目标端口号，可以使用“起始端口号：结束端口号”的格式指定一个端口的范围IPTABLES的动作选项动作选项指定当数据包与规则匹配时，应该做什么操作，如接受或丢弃等，如表15-3所示。下表15-3为iptables的动作选项动作说明ACCEPT接受数据包DROP丢弃数据包REDIRECT将数据包重新转向本机或另一台主机的某个端口，通常用功能实现透明代理或对外开放内网的某些服务SNAT源地址转换，即改变数据包的源地址DNAT目标地址转换，即改变数据包的目标地址MASQUERADEIP伪装，即常说的NAT技术。MASQUERADE只能用于SDSL等拨号上网的IP伪装，也就是主机的IP地址是由ISP动态分配的；如果主机的IP地址是静态固定的，就要使用SNATLOG日志功能，将符合规则的数据包的相关信息记录在日志中，以便管理员进行分析和排错查看IPTABLES规则在初始状态，iptables并没有规则，但是如果在安装时选择自动安装防火墙，这时系统中就会有默认的规则存在，那