计算机安全技术TOOLS教程课件5.7.3 实例：Linux防火墙配置.docVIP

5.7.3 实例：Linux防火墙配置 1．netfilter/iptables介绍 数据包经过filter表的过程如图5-46所示。 图5-46 数据包经过filter表的过程 通过使用iptables命令建立过滤规则，并将这些规则添加到内核空间过滤表内的链中。 添加、删除和修改规则的命令语法如下： # iptables [-t table] command [match] [target] （1）table [-t table]有3种可用的表选项：filter、nat和mangle。该选项不是必需的，如未指定，则filter表作为默认表。 filter表用于一般的数据包过滤，包含INPUT、OUTPUT和FORWARD链。 nat表用于要转发的数据包，包含PREROUTING链、OUTPUT链和POSTROUTING链。 mangle表用于数据包及其头部的更改，包含PREROUTING和OUTPUT链。 （2）command command是iptables命令中最重要的部分，它告诉iptables命令要进行的操作，如插入规则、删除规则、将规则添加到链尾等。 常用的一些命令如表5-15所示。 示例： #iptables -A INPUT -s 0 -j ACCEPT 该命令将一条规则附加到INPUT链的末尾，确定来自源地址0的数据包可以ACCEPT。 #iptables -D INPUT --dport 80 -j DROP 该命令从INPUT链删除规则。 #iptables -P INPUT DROP 该命令将INPUT链的默认目标指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。 （3）match match部分指定数据包与规则匹配所应具有的特征，比如源IP地址、目的IP地址、协议等。 常用的规则匹配器如表5-16所示。 示例： #iptables -A INPUT -p TCP #iptables -A INPUT -p ! ICMP #iptables -A OUTPUT -s 0 #iptables -A OUTPUT -s ! 00 #iptables -A INPUT -d #iptables -A OUTPUT -d ! 00 （4）target 目标是由规则指定的操作，常用的一些目标和功能说明如表5-17所示。 （5）保存规则 #iptables-save iptables-script #iptables-restore iptables-script 2．Linux防火墙的配置 创建“iptables_example.sh”文件，内容如下所示，执行如下两条命令： #service iptables start //启动iptables #sh iptables_example.sh //配置防火墙的过滤规则 下面是对“iptables_example.sh”文件的说明。 第3行：开启内核对数据包的转发功能。 第6行：开启内核对DOS（syn-flood）攻击的防范功能。 第8、9行：eth0（ppp0）外网接口，如果通过宽带带动局域网上网，则用ppp0。 第10行：eth1内网接口。 第16～24行：加载模块。 第26～30行：清空filter、nat、mangle表中的规则。 第32～37行：对filter和nat表设置默认过滤规则。 第44～47行：允许dns连接。 第57～65行：根据指定端口和IP地址来过滤掉数据包。 第67行：通过字符串匹配来阻止内网用户访问一些网站（“fund”指包含该单词的网页受阻）。 第69～73行：根据是否是通过宽带（ppp0）带动局域网上网来选择相应的规则。 第80、81行：对局域网内电脑的MAC和IP地址进行绑定，可以防止内网用户随意修改IP地址。 iptables_example.sh文件内容如下： 1 #!/bin/bash 2 3 echo 1 /proc/sys/net/ipv4/ip_forward 4 #echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 5 #echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 6 echo 1 /proc/sys/net/ipv4/tcp_syncookies 7 8 #INET_IF=ppp0 9 INET_IF=eth0 10 LAN_IF=eth1 11 LAN_IP_RANGE=/24 12 IPT=/sbin/iptables 13 TC=/sbin/tc 14 MODPROBE=/sbin/modprobe 15 16 $MODPROBE ip_tables 17