基于Linux的netfiher／iptables防火墙的实现.pdf

第3l卷第2期 通 化 师 范 学 院 学报 V01．31№2 2010年2月 JOURNALOFTONGHUATEACHERSCOU GE Feb．2010 基于 Linux的netfiher／iptables防火墙的实现 王继魁 (吉林师范大学 计算机学院，吉林 四平 136000) 摘 要：目前，防火墙作为一种有效的网络安全机制被广泛的应用，Linux平台以其稳定、健壮及廉价的特性取得广泛的应用 Hnux防火墙技术也逐渐被认可．文中分析了Linux下netfilter／iptables的结构框架及其使用方法，并给出了一个防火墙实例． 关键词：linux；netfiher／iptables；防火墙 中图分类号：TP309 文献标志码：A 文章编号：1008—7974(2010)02—0055—02 收稿 日期 ：2009—11—26 作者简介：王继魁 (1981一)，男，吉林四平市，吉林师范大学计算机学院教师． 防火墙是能够在不同的网络之间，明显区隔出实体线路 图1．因此对于任何～个数据报只有一个地方对其进行过滤． 联机的软件和硬件设备组合．被区隔开来的网络，能够透过 (2)NAT．NAT表格监听三个Netfilter钩子函数：NF—IP— PRE R0UrI1NG…NF IP POST 封包转送技术来相互通讯 ，透过防火墙的安全管理机制，能 — — ROUTING及 NF—IP—LOCAL— 够决定数据流通问题，以达到网络安全保护的目的． OUT，如图1．NF—IP～PRE—ROUTING实现对需要转发的数据 防火墙可概略归类为硬件式防火墙和软件式防火墙，但 报的源地址进行地址转换 ，而 NF—IP—POST—ROUTING则对 实际上无论是硬件式或软件式防火墙，他们都需要使用硬件 需要转发的数据包的目的地址进行地址转换．对于本地数据 作为联机介质和使用软件来设定安全策略．硬件式防火墙是 报的目的地址的转换则由NF—IP—LOCAL—OUT来实现．NAT 使用专有的硬件和操作系统，而软件式防火墙则可使用一般 表格不同于filter表格 ，因为只有新连接的第一个数据报将 的电脑硬件和通用的操作系统． 遍历表格，而随后的数据报将根据第一个数据报的结果进行 硬件式防火墙费用昂贵，中小型用户难 以支付．而 Linux 同样的转换处理．NAT表格被用在源NAT、目的NAT、伪装 提供了一个非常优秀的防火墙工具 netfiher／iptables．它完全 (其是源NAT的一个特例)及透明代理 (其是 目的NAT的一 免费、功能强大、使用灵活、可以对流人和流出的信息进行细 个特例)． 化控制，且可以在廉价PC机上很好地运行．本文将对使用 (3)数据报处理 (Packetmangling)．mangle表格在NF— IP PRE netfiher／iptables实现防火墙的架设进行阐述． _ — ROUTING和NF—IP—LOCAL—OUT钩子中进行注册， 1 netfiher／iptables结构框架 如图1．使用mangle表 ，可以实现对数据报的修改或给数据 1．1 neffiher／iptables简介 报些带外数据．当前mangle表支持修改TO