新Linux操作系统配置与管理 电子教案 严学军 第13章.pptVIP

在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： Linux操作系统配置与管理 主编 严学军 鲁立 中国水利水电出版社 第13章 Linux防火墙 学习要点 TCP Wrappers的工作原理及配置 IPTables的构成 IPTables的配置 13.1 TCP Wrappers 13.1.1 TCP Wrappers简介 TCP Wrappers本意指的是针对使用TCP协议的封装，实质上是对使用TCP协议的 应用程序进行检测，同时也提供对系统的保护。它是一层额外的防护，通过它可 以实现基于IP的存取控制，同时提供日志支持和消息反馈。 13.1 TCP Wrappers 13.1.2 TCP Wrappers配置 1．判断某个服务是否支持TCP Wrappers。可以通过命令检测 ldd /usr/sbin/sshd |grep libwrap 2. 工作原理 tcp wrappers使用两个文件来进行访问控制，一个是/etc/hosts.allow，另外一 个是/etc/hosts.deny 13.1 TCP Wrappers 13.1.2 TCP Wrappers配置 （1） 当有客户端请求时 首先检查/etc/hosts.allow 如有匹配的，就允许或者拒绝访问（跳过 /etc/hosts.deny这个文件的检查） 没有匹配的,就去检查/etc/hosts.deny 文件,如果有匹配的，就拒绝这个访问 （2） 如果这两个文件都没有找到匹配，默认是允许访问的。 3. TCP Wrappers的使用方法 服务列表 ：地址列表 ：选项 13.2 IPTables防火墙 IPTables防火墙由Netfilter项目开发的，是在Linux2.4内核及以后版本中 集成在Linux中了，主要以包过滤控制为主，同时也提供了协议状态跟踪 可这一效率更高的工作方式，它可以根据管理员的要求灵活的进行配置， 使用起来很方便，而且控制效果很好，可以对网络的安全起到很好的防 护作用 13.2 IPTables防火墙 13.2.1IPTables构成 1．net filter：也称为内核空间（kernel space）,是内核的一部份，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 2．Iptables：是一种工具，也称为用户空间（user space）,它使添加、修改和删除信息包过滤表中的规则变得更容易。 13.2 IPTables防火墙 13.2.1IPTables构成 netfilter是Linux核心中一个通用架构，它提供了一系列的“表”(tables)， 每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rule) 组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，而链又 是规则的容器。 IPTables包含3个表，分别是Filter、NAT、Manage表，通过这几个表可以设 置防火墙对数据包进行筛选、改写。这几个表又包含若干链，用于存放规则 在IPTables的使用中会出现4钟状态，分别是NEW、ESTABLISHED、 RELATED和INVALID 13.2 IPTables防火墙 13.2.2字符界面下的IPTables的配置 IPTables的命令格式如下： iptables [-t table] command [chain] [match] [-j target/jump] 从语法从可以看到配置IPTables需要配置表选项、命令选项、匹配选项、动作选项 13.2 IPTables防火墙 13.2.2字符界面下的IPTables的配置 1．表 IPTables可以使用Filter、NAT、Manage表，默认情况下使用的是Filter表 （1）Filter表：用于数据包过滤 （2）NAT表：用于网络地址转换。在该表不做数据包的过滤，如果第一个数据包被允许通过，后续数据包就可以自动做相同的操作，不需要再经过该表。 （3）Manage表：该表主要用来修改数据包。例如修改TTL(存活时间)、TOS（服务质量）、以及给数据包的加上标记。 13.2 IPTables防火墙 13.2.2字符界面下的IPTables的配置 2．command和chain command指的是对所针对的规则做哪些操作。 chain是一个检查清单，它会利用预先设定的规则对数据包进行判断 ,有如下 5个链 :PREROUTING 、FORWARD、INPUT