基于netfilter数据过滤防火墙的应用研究.pdfVIP

广东技术师范学院学报 2009年第 1期 JournalofGuangdongPolytechnicNormalUniversity No．1，2009 基于netfilter数据过滤防火墙的应用研究 謦a 瑾i (广东技术师范学院计算机科学学院，广东 广州 510665) 摘 要 ：netfilter／iptables是 Ijnux实现包过滤、数据包处理、NAT等的功 能框 架，利用netfiher框架可以实现很 好的数据包过滤 的功能。本文主要研 究使用netfiher／iptables设置和应用基于地址 (源和 目标)、用户和时间的访 问 控制策略，以阻止外部非法、不可靠的数据连接，同时保护 内部用户的合法访 问不受影响。 关键词：neffiher／iptables；数据包过滤：访14控制 中图分类号 ：TP393．08 文献标识码：A 文章编号 ：1672—402X(2009)01—0039—03 了netfilter的链结构 ： 1引 言 PREROUTING链 ：对到达且未经路 由判断之前 Linux作为开源操作系统，其安全特性一直是研 的包进行处理的规则链 。 究重点，其 中访 问控制机制是网络安全防范与保护 INPUT链 ：处理输入包的规则链 。 的主要内容 ，主要任务是保证网络资源不受非法访 OUTPUT链 ：处理输 出包的规则链 。 问和非法使用。 目前国内外很多研究机构提出了多 FORWARD链 ：处理转发包的规则链 。 种基于Linux的安全框架 ，以增强 Linux的安全特 P0STROUTING链 ：对发出且经过路 由判断之后 性。Linux提供的与内核集成的netfiher／iptablesIP数 的包进行处理的规则链 [。 据包过滤系统 ，具有包过滤、数据包处理 、NAT等功 路由的作用是由内核检查信息包的头信息 ，例 能，高度模块化于网络层Eli。利用 Linux系统作为代 如包的目的地。还可以设置用户 自定义链 ，由fher 理服务器连接到因特网时，netfilter／iptables能够很好 表 内置链来调用 。每一个数据包都要 通过三个链 地控制 IP数据包过滤和提供防火墙配置。本文主要 fINPUT、OUTPUT和FORWARD)中的一个，内核将数 内容就是基于Linuxnetfilter／iptables防火墙系统 ，研 据包的头信息与它所传递到的链中的每条规则进行 究如何设置和应用基于地址 (源和 目标 )、用户的访 比较 ，看它是否与某条规则完全匹配。 问控制策略 ，以阻止外部非法、不可靠的数据连接 ， 同时保护 内部用户的合法访问不受影响。 2netfilter／iptables技 术 netfiher组件是内核的一部分 ．由一些信息包过 滤表组成．这些表包含 内核用来控制信息包过滤处 链 路 屡 理的规则集 ．运行在 内核空间 ；iptables组件是一种 图 1netfilter的链结构 管理工具 2‘|，提供让用户插入、修改和删除信息包过 3数据过 滤防火墙的 iptables配置 实例 滤表 中的规则的命令 ，运行在用户空间。当数据包到 达本机链路层时，如果 MAC地址符合，就会 由内核 (1)实验环境有一 台 Linux机器 ，操作 系统 里相应的驱动程序接收．根据过滤表的规则对数据 RedHat2．4．20—8，配有两个 网卡 ，其 中ethO通过 包