Linux网络安全讲义Netfilter机制与iptables工具.doc

Linux网络安全讲议 （Editer:NetSeek From:） PAGE 7 E-mail:netseek@ Linux网络安全讲义:Netfilter机制与iptables工具 一、iptables 简介 iptables下载与技术资源总站/。 使用iptables前先确认核心版本(#uname -r)，Kernel必须是2.4以上版本 演进历程介绍:- 旧版Linux 上使用 IP-Masquerade 的 IP 伪装以便于达成该功能。- kernel 2.0.x 时代，是使用 ipfwadm 程序。(这个说法不算是完全正确)- kernel 2.1.x/2.2.x 时代，则是使用 ipchains 程序，port forwarding需要搭配ipmasqadm程序 来辅助才能够达成。- kernel 2.3.x/2.4.x 时代，使用 netfilter 过滤机制， 是使用iptables 程序。 ！注意！(Kernel 2.4 使用 netfilter project 的 firewall 机制，该环境允许使用者使用旧版ipchains设定 firewall，不过要先挂入ipchains模块。若是系统已经挂入ipchains模块，要先执行# ipchains -F ; ipchains –X；rmmod ipchains 即可开始使用 iptables 了。 目前 kernel 2.4.x 配合使用netfilter核心过滤机制，可以达到的功能相当强悍，netfilter可提供的机制如下： 传统 ipchains 的任何功能(来源与目的封包过滤、导向、伪装)。 提供 Source NAT 与 Destination NAT 的功能。 可以针对特定使用者、群组、PID 等限制网络连结的过滤存取。 可以设定封包在 Routing Table 进出前时先预先处理。 可以针对外面自动建立、与现有联机有关这类联机过滤处理。 可以针对 Mac 卡号直接处理。 使用iptables前先确认下列核心功能已设定正确：CONFIG_PACKET 、CONFIG_NETFILTER 、CONFIG_IP_NF_CONNTRACK、CONFIG_IP_NF_FTP 、CONFIG_IP_NF_IPTABLES 、CONFIG_IP_NF_MATCH_LIMIT、CONFIG_IP_NF_MATCH_MAC 、CONFIG_IP_NF_MATCH_MARK 、CONFIG_IP_NF_MATCH_MULTIPORT、CONFIG_IP_NF_MATCH_TOS、CONFIG_IP_NF_MATCH_TCPMSS、CONFIG_IP_NF_MATCH_STATE、CONFIG_IP_NF_MATCH_UNCLEAN、CONFIG_IP_NF_MATCH_OWNER、CONFIG_IP_NF_FILTER、CONFIG_IP_NF_TARGET_REJECT、CONFIG_IP_NF_TARGET_MIRROR、CONFIG_IP_NF_NAT 、CONFIG_IP_NF_TARGET_MASQUERADE、CONFIG_IP_NF_TARGET_REDIRECT、CONFIG_IP_NF_TARGET_LOG、CONFIG_IP_NF_TARGET_TCPMSS、CONFIG_IP_NF_COMPAT_IPCHAINS、CONFIG_IP_NF_COMPAT_IPFWADM。 二、基本原理 iptables预设的Table & Chains组合(User可以自订chains) 过滤表(Table) 说明 filter 过滤透通本机的封包 (预设) nat 转译封包地址信息 mangle 修改或标注封包 Forward Packet Processing Input Packet Processing Output Packet Processing 各种封包的处理流程(一) 各种封包的处理流程(二)　 规则链(chains) 执行时机 PREROUTING 封包进入本机，在判断路由前 INPUT 通过路由表后，目的地为本机 FORWARD 通过路由表后，目的地不是本机 OUTPUT 由本机主动建立的封包，在通过路由表前 POSTROUTING 通过路由表后，要发送出去前 封包过滤流程(三)　 PREROUTING PREROUTING INPUT OUTPUT FORWARD POSTROUTING Local Process Route Table IP Packet Header 三、指令介绍 ip