Red Hat9.0学习参考：Linux网络安全.pptVIP

8.3.2 Netfilter/iptables简介 1．Linux下的包过滤防火墙管理工具 从1．1内核开始，Linux就已经具有包过滤功能了，随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段： 在2.0的内核中，采用ipfwadm来操作内核包过滤规则。 在2.2的内核中，采用ipchains来控制内核包过滤规则。 在2.4的内核中，采用一个全新的内核包过滤管理工具——iptables。 现在最新Linux内核版本是2.4.1，在2.4内核中不再使用ipchains，而是采用一个全新的内核包过滤管理工具--iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。 iptables作为一个管理内核包过滤的工具，iptables 可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是Netfilter(Linux 核心中一个通用架构)及其相关模块(如iptables模块和nat模块等)。 2．Netfilter的工作原理 Netfilter是Linux 核心中的一个通用架构，它提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rule)组成。因此，可以理解netfilter是表的容器，表是链的容器，而链又是规则的容器，如图8-10所示。 图8-10 Netfilter总体结构 系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中所有规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。 数据包在filter表中的流程如图8-11所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况： 路由选择 FORWARD链 INPUT链 OUTPUT链 本地处理进程 入站包 出站包 图8-11 数据包在Filter表中的流程图 （1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢弃； （2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉； （3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉。 Red Hat linux 9使用2.4版本地内核，并且内核的编译选项中包含对Netfilter地支持，同时iptables软件包是默认安装的，所以可以直接使用。 另外，为了完成转发功能，必须打开系统内核的IP转发功能，使Linux变成路由器。 在Red Hat中有两种方法： (1)修改内核变量ip_forward。 # echo “1”/proc/sys/net/ipv4/ip_forward (2)修改脚本/etc/sysconfig/network。 将FORWARD_IPV4=false 改为FORWARD_IPV4=true 3．iptables语法 iptables的语法通常可以简化为下面的形式： iptables [-t table] CMD [chain] [rule-matcher] [-j target] iptables工具的调用语法如下： （1）对链的操作 （2）对规则的操作 （3）指定源地址和目的地址 （4）指定协议 （5）指定网络接口 （6）指定IP碎片 （7）指定非 （8）TCP匹配扩展 （9）mac匹配扩展 （10）limit匹配扩展 （11）LOG目标扩展 （12）REJECT目标扩展 4、iptables与ipchains的区别 iptables的缺省链的名称从小写换成大写，并且意义不再相同：INPUT和OUTPUT分别放置对目的地址是本机以及本机发出的数据包的过滤规则。 -i选项现在只代表输入网络接口，输入网络接口则使用-o选项。 TCP和UDP端口现在需要用--source-port或--s