iptables Linux教学课件.ppt

iptables/netfilter ip_forward 宿主 小项目 小项目 ipv4 ip_forward http 转换为能够通过网络发送的数据格式 文本 二进制 主动关闭， 被动关闭 The TCP Finite State Machine (FSM) TCP State The TCP Finite State Machine (FSM) 规则：标准 /proc/sys/net/ipv4/ip_forward NAT udp: 53 80 ip_conntrack A?B ESTABLISHED ip_conntrack /proc/net/ip_conntrack ip_conntrack : IP ASCII MAC: Media Access Control 广播风暴 1:a ? 2：b /proc/sys/net/ipv4/ip_forward 源地址转换， SNAT 目标地址转换， DNAT 端口地址转换， PNAT ipfw 2.0 ipchains 2.2 iptables 2.4 iptables: 用户空间工具 编写规则 netfilter 内核中，框架(framework) hook function 规则链 INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING 功能： filter nat mangle raw 数据包过滤匹配流程 /16 drop 22 流向： 到本机 PREROUTING ? INPUT 转发 PREROUTING ? FORWARD ? POSTROUTING 由本机发出 OUTPUT? POSTROUTING table raw PREROUTING, OUTPUT mangle PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING nat PREROUTING, OUTPUT, POSTROUTING filter INPUT, FORWARD, OUTPUT filter 匹配条件 netfilter，检查模块 扩展模块 处理动作 ACCEPT DROP, REJECT 100条 自定义链 netfiter的规则表、链结构 IP首部 Tcp首部 TCP/IP stack , kernel(rules) iptables/netfilter 允许/不允许, filter 地址转换, nat 修改报文原数据，mangle filter INPUT, FORWARD, OUTPUT nat PREROUTING, OUTPUT, POSTROUTING mangle PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING /16, /16, /16, SNAT SNAT策略的应用环境 SNAT策略的原理 未使用SNAT策略时的情况 SNAT策略的原理 在网关中使用SNAT策略以后 DNAT策略的应用环境 DNAT策略的原理 在网关中使用DNAT策略发布内网服务器 工作网络层的防火墙 工作于应用层的应用层网关 源地址转换 Firewall 组件，工作网络边缘（主机边缘），对进出本网络数据包基于一定的规则进行检查，并在匹配某规则时由规则定义的处理机制进行处理的 tcp/ip,内核中 选择了5个位置，hook function PREROUTING INPUT OUTPUT FORWARD POSTROUTING filter: INPUT,OUTPUT,FOWARD nat: PREROUTING, POSTROUTING, OUTPUT mangle： raw：PREROUTING,OUTPUT Objectives Upon completion of this unit, you should be able to: Describe IP and Routing Compare IPv4 and IPv6 Describe IPv6 Features Understand Netfilter Architecture Learn to use the iptables command Understand Network Address Translation(NAT) What is IPTables? IPTables are building blocks of a framework within the Linux 2.4.x and 2.6.x kernels. It is the successor of IPChains (2.2.x) and ipfwadm (2.0.x) Th