Linux网络操作系统项目10 Linux防火墙实现——iptables.pptVIP

2、安全规则 1）限制icmp包 icmp包通常用于网络测试等，黑客常常采用icmp进行攻击。当其他主机使用ping命令（ping命令使用icmp包）测试时，主机不响应。 student@ubuntu:~$ sudo iptables –I INPUT -p icmp –icmp-type 8 –j DROP 注意，这里使用的是-I参数把规则添加到第一条。 如果要保护局域网络其他主机对ping命令不响应可以使用如下规则。 student@ubuntu:~$ sudo iptables –I FORWARD -p icmp –icmp-type 8 –j DROP 添加完上述规则后在本地局域网ping一下Linux主机，测试一下。 其实完全限制也并不可取，对于上述两条规则更好的是采用limit匹配扩展加以限制，规则如下。 student@ubuntu:~$ sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT student@ubuntu:~$ sudo iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT 对不管来自哪里的icmp包都进行限制，允许每秒通过一个包，该限制触发的条件是10个包。 2）处理ip碎片 在TCP/IP通讯过程中，每一个网络接口都有一个最大传输单元(MTU)，这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数个数据包(称之为ip碎片)来传输，而接收方则对这些ip碎片再进行重组以还原整个包。完全允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。 student@ubuntu:~$ sudo iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT student@ubuntu:~$ sudo iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT 对不管来自哪里的ip碎片都进行限制，允许每秒通100个ip碎片，该限制触发的条件是100个ip碎片。 任务2网络地址转换（NAT） 到目前为止，还有一个非常重要的问题，就是局域网主机之间互访，局域网主机通过防火墙主机访问Internet，或者Internet主机通过防火墙访问本地局域网主机，要实现这就涉及到网络地址转换（NAT）。 1.路由器 网段的局域网与网段的局域网出于不同的网段，要实现两者之间的相互访问必须要求Linux防火墙主机能够实现路由功能，图12.12所示是一种典型多个局域网网络拓扑图。 1）配置局域网主机实现实验环境 网段192.168.0的局域网主机的网关要求是，网段192.168.1的局域网主机的网关要求是66。 如果主机是Linux，添加一条网络路由方法如下。 student@ubuntu:~$ route add -net netmask gw dev eth0 如果主机是Windows，要添加一条网络路由，在终端输入如下命令： route add mask metric 1 iptables是通过一些规则、策略构成的表对通过数据包进行处理。iptables的语法相当多，可以分为规则清除，定义策略，添加，插入、删除规则等几种。以下将依照搭建防火墙的过程（规则清除→定义策略→添加、插入、删除规则→保存规则）进行。 1.查看当前iptables信息 iptables內建三个表：filter、nat以及mangle，每个表都被预先设置了一或多个代表各拦截点的链，其中filter预设的三个INPUT、FORWARD、OUTPUT链。对iptables设置规则实质是对iptables表的链设置规则，更详细的参考后文归纳说明部分或其他资料。 在做进一步操作之前，我们先查看iptables表信息，初步了解iptables。 1）查看filter表信息。 使用“iptables –L”默认是查看表filter的链。在“Linux 防火墙/路由器”主机输入如下（如果没有特殊说明，以下都将在“Linux 防火墙/路由器”进行操作）。 student@ubuntu:~$ sudo iptables -L Chain INPUT (policy ACCEPT) // INPUT链默认策略为接受所有包 target prot opt sour