Linux网络操作系统 高职计算机网络专业 易著梁 Linux网络管理部分 项目10 Linux防火墙实现——iptables.pptVIP

尚辅网 尚辅网 Linux 网络操作系统 易著梁 邓志龙 Email：yzlmhm@163.com jenod@163.com 项目引入 在Internet网络，“裸奔”，你敢吗？ 防火墙与杀毒软件 防火墙旨在检查往来于 Internet 间的信息。对于连接到网络上的 Linux 系统来说，防火墙是必不可少的防御机制，它只允许合法的网络流量进出系统，而禁止其它任何网络流量。 Linux 内核级防火墙解决方案 “netfilter/iptables IP 信息包过滤系统”是集成到 Linux 内核的防火墙解决方案。Linux核心里的netfilter子系统除了完成的网络防火墙功能，还可以进行网络地址转换（NAT）、数据包（package）记录、流量统计等。iptables是用户操作netfilter的唯一工具接口。为叙述便利，以下叙述将不严格区分iptables与 netfilter。 项目环境 图是一种常见的网络环境拓扑图。本项目主要围绕主机—Linux 防火墙/路由器构建进行设计，本项目中在 “Linux 防火墙/路由器”主机安装3块网卡。一块网卡（Linux系统识别为eth0，IP地址为）连接网段为192.168.0的局域网（LAN）；另一块网卡（系统识别为eth1，IP地址为66）连接网段为192.168.1的局域网；第3块网卡（系统识别为eth2，IP地址可以为公网地址，也可以是上层局域网地址，本项目采用一个假设公有地址8）连接Internet或上层局域网。 项?目?10 Linux防火墙实现——iptables 基本任务： 1）使用 iptables搭建简单防火墙； 2）使用ufw防火墙。 拓展任务： 1）构建一个更完善的防火墙； 2）网络地址转换（NAT）； 3）iptables与Squid透明代理； 4）使用FireStarter防火墙。 任务1使用 iptables搭建简单防火墙 本任务主要构建能够完成访问外部资源，但不提供服务的Linux桌面型主机安全策略。对常见的网络环境中选取一部分并简化作为任务实验环境，如图所示，局域网环境是通过上层LAN而不是直接连接Internet，构造如此环境并不影响测试。 iptables是通过一些规则、策略构成的表对通过数据包进行处理。iptables的语法相当多，可以分为规则清除，定义策略，添加，插入、删除规则等几种。以下将依照搭建防火墙的过程（规则清除→定义策略→添加、插入、删除规则→保存规则）进行。 1.查看当前iptables信息 iptables內建三个表：filter、nat以及mangle，每个表都被预先设置了一或多个代表各拦截点的链，其中filter预设的三个INPUT、FORWARD、OUTPUT链。对iptables设置规则实质是对iptables表的链设置规则，更详细的参考后文归纳说明部分或其他资料。 在做进一步操作之前，我们先查看iptables表信息，初步了解iptables。 1）查看filter表信息。 使用“iptables –L”默认是查看表filter的链。在“Linux 防火墙/路由器”主机输入如下（如果没有特殊说明，以下都将在“Linux 防火墙/路由器”进行操作）。 2）查看nat表的规则。 从上看出Linux系统nat表有PREROUTING、POSTROUTING、OUTPUT链，默认策略对于任何包也都接受，并没有设置规则。 3）查看nat表的详细信息。 2.规则清除 一般设置iptables之前，首先要清除所有以前设置的规则。虽然很多情况下它什么也不做，但是保险起见，不妨小心一点吧。 3.定义策略 规则清除后，接下来就是对链定义策略，策略就是当链的规则都相符是数据包的默认动作。从上面查看表信息得知，iptables表的链没有设置规则，且对任何数据包的策略都是接受的。显然，这是一种过于宽松的防火墙。 1）定义策略之前检查网络连通性 2）定义filter表的INPUT链策略 首先，定义一个非常严格的策略。 student@ubuntu:~$ sudo iptables -P INPUT DROP // 设置Filter的INPUT链策略为丢弃所有包 INPUT链是处理那些进入Linux主机的数据包。上命令将会为构建一个非常“安全”的防火墙，很难有哪个黑客（hacker）能攻破这样的主机，因为它将所有从网络想进入你主机的数据丢弃(drop) 了。这当然是安全过头了，此时主机将相当于没有网络。 3）检测配置 如果ping ，就会发现屏幕一直停在那里，因为ping收不到任何回应，必须按“Ctrl+C”强行终止。 4）定义其他链策略 虽然Ubuntu系统其他链默认策略为允许所有包