Linux服务器配置与管理11.ppt

11.1 配置Linux防火墙介 ⑷ -i或--in-interface 该参数用于设置比较封包是从哪一个网络接口卡进入的。比如，若要判断封包是否从eth0网卡进入，则设置方法为：-i eth0，若要表达除eth0以外的其他以太网卡，则表达方法为： -i !eth0 如果接口名后面加上“+”，则所有以此接口名开头的接口都会被匹配，比如：-i eth+。如果该选项被忽略，则会假设为“+”，将匹配任意接口。 ⑸ -o或--out-interface 该参数用于设置要比较封包即将从哪个网络接口卡送出。设置方法与-i相同。 3．iptables的options选项 11.1 配置Linux防火墙介 ⑹ --sport或--source-port 　　该参数用于设置要比较封包的来源端口号。可以设置为某一个端口，也可设置为一个端口范围，范围的下限与上限间用“:”进行分隔。 　　比如，若要表达21-80端口范围，则表达方法为：--sport 21:80，另外端口表达也可使用！运算符。 　　对于不连续的多个端口，可使用以下方法来表达，最多可以指定15个端口，只能和-p tcp 或者-p udp 连着使用。 　　-m multiport --sport 端口1，端口2，端口3… 3．iptables的options选项 11.1 配置Linux防火墙介 ⑺ --dport或--destination-port 用于设置要比较的封包的目标端口，设置方法与--sport相同。 例如，若要禁止对目标端口为135、137、138、139和445端口的连接转发，实现命令为： [root@rh9 root]#iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j DROP 3．iptables的options选项 11.1 配置Linux防火墙介 　　对规则的处理动作通过-j参数指定，常用的处理动作有：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、DNAT、SNAT、LOG、RETURN和MARK。 　　⑴ ACCEPT允许封包通过或接收该封包。 　　⑵ REJECT 拦截该封包，并回传一个封包通知对方 　　⑶ DROP 直接丢弃封包。 　　⑷ REDIRECT将封包重新定向到另一个端口，从而实现网络地址端口的转换。 　　⑸ MASQUERADE用于改写封包的来源IP为封包流出的外网卡的IP地址，以实现IP的伪装。 4．规则的处理动作 * * 《Linux服务器配置与管理》 作者：冯昊 清华大学出版社 第11章 配置防火墙与代理服务器 11.1 配置Linux防火墙介 1. 什么是防火墙 　　防火墙是目前解决网络安全的主要技术之一，常放置于网络的边界，以保护网络免受外来攻击。 　　防火墙是一套能够在两个网络间，对网路进行隔离并实现有条件通信的软硬件设备，其基本功能是分析出入防火墙的数据包，根据IP包头结合防火墙的规则，来决定是否允许数据包通过。 11.1.1 防火墙简介 11.1 配置Linux防火墙介 2. 防火墙的分类 　　防火墙通常分为硬件防火墙和软件防火墙两种。 　　防火墙按运作方式可分为封包过滤式防火墙(Packet Filter)、应用层网关式防火墙 (Application-Level Gateway)和电路层网关式防火墙 (Circuit-Level Gateway)。封包过滤式防火墙使用最广泛。 　　防火墙通常提供有外网接口（WAN）、内网接口（LAN）和DMZ接口。DMZ接口用于连接服务器群。 　　 11.1.1 防火墙简介 11.1 配置Linux防火墙介 1. netfilter简介 netfilter是Linux 核心中的一个通用框架，该框架定义了包过滤子系统功能的实现，提供了filter、nat和mangle 3个表（tables），默认使用的是filter表，每个表包含有若干条内建的链（chains），用户也可在表中创建自定义的链。在每条链中，可定义一条或多条过滤规则（rule），即链是规则的一个列表。 11.1.2 IP包过滤与网络地址转换 11.1 配置Linux防火墙介 2. 规则的判断比较 　　每条规则的定义方式一般是“如果IP包符合这样的条件，就就这样处理该数据包”。 　　规则比较遵循第一匹配优先原则，若没有配匹的规则，则按默认策略处理，因此在表达规则时应注意先后顺序。 11.1.2 IP包过滤与网络地址转换 11.1 配置Linux防火墙介 3. IP包过滤 　　filter表用于实现IP封包的过滤处理，该表内建有3个名为INPU