《Linux互联网技术》项目10Linux防火墙实现iptables1.pptVIP

2.定义政策 定义规则命令格式： iptables [-t tables] [-P] [INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT,POSTROUTING] [ACCEPT,DROP] 参数说明： -P ：定义政策( Policy )。注意，这个P为大写； INPUT：数据包为输入主机的方向； OUTPUT：数据包为输出主机的方向； FORWARD：数据包为不进入主机而向外再传输出去的方向； PREROUTING：在进入路由之前进行的工作； OUTPUT：数据包为输出主机的方向； POSTROUTING：在进入路由之后进行的工作； ACCEPT：放任数据包进入下以阶段处理； DROP：终结包的后续流程。 链的策略主要有ACCEPT与DROP，对于自订链的策略都固定是RETURN，不能改变。 第三十页，共六十页。 3.新增与插入规则 新增与插入规则较语法复杂，大概格式是：命令+操作表格+过滤条件+处置动作构成。具体格式如下： iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j [ACCEPT,DROP] 参数说明： -A：新增加一条规则，该规则增加在最后面，例如原本已经有四条规则， 使用 -A 就可以加上第五条规则！ -I：插入一条规则，如果没有设定规则顺序，预设是插入变成第一条规则， 例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 INPUT　：规则设定为 filter table 的 INPUT 链 OUTPUT ：规则设定为 filter table 的 OUTPUT 链 FORWARD：规则设定为 filter table 的 FORWARD 链 　 -i：设定数据包进入的网络接口 -o：设定数据包流出的网络接口 Interface：网络卡接口，例如eth0, eth1，ppp0等 第三十一页，共六十页。 -p：请注意，小写，数据包的协议。 tcp ：数据包为 TCP 协议的包； upd ：数据包为 UDP 协议的包； icmp：数据包为 ICMP 协议； all ：表示为所有的包。 　 -s：来源数据包的 IP 或者是 Network ( 网域 ) --sport：来源数据包的端口号，也课使用port1:port2，如21:23，表示允许21,22,23 通过 -d：目标主机的 IP 或者是 Network ( 网域 ) --dport：目标主机的 port 号码　 -j：动作，通常是以下的动作； ACCEPT：接受该封包 DROP：丢弃封包 LOG：将该封包的信息记录下来 (默认记录到 /var/log/messages 文件) 以上新增与插入规则只是针对主机设置的这一部分，还有更多的，比如针对NAT的规则、针对硬件地址(MAC)分析规则等需要参考资料。 第三十二页，共六十页。 4.保存与恢复防火墙规则 这主要涉及两个iptables命令。 1）保存规则 iptables-save 将防火墙机制储存成 那个文件，该文件为ASCII 格式，可以进入查看。 2）恢复规则 iptables-restore 将 那个防火墙文件的规则读入目前的 Linux 主机环境中。 第三十三页，共六十页。 拓 展 提 高 1）构建一个更完善的防火墙； 2）网络地址转换（NAT）； 3）iptables与Squid透明代理； 4）使用FireStarter防火墙。 第三十四页，共六十页。 任务1构建一个更完善的防火墙 使用 iptables搭建简单防火墙已经能够完成本地局域网相互访问，Linux主机也能够访问Internet，但如果Linux主机还提供Web、邮件服务等服务，简单服务器设置能满足要求吗？另外，一些更安全的规则也应该考虑。 第三十五页，共六十页。 1.主机提供服务 以下过程要在Linux主机保证运行了Apache服务器。 1）配置前测试 在上层局域网的主机192.168.1.66上打开浏览器，输入Linux主机地址192.168.1.166，访问Linux主机web站点；在本地局域网主机192.168.0.1上打开浏览器，输入Linux主机地址192.168.0.5，访问Linux主机web站点。 以上两种操作，正常情况上层局域网的主机不能访问Web站点，而本地局域可以正确访问。 2）添加规则允许