- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于Iptables和Linux策略路由的防火墙实现,linux防火墙iptables,linuxiptables路由,iptables策略路由,关闭iptables防火墙,iptables防火墙,iptables防火墙配置,飞塔防火墙策略路由,华为防火墙策略路由,iptables防火墙规则
ISSN1009-3044 E-mail: info@
第8 卷第6 期 (2012 年2 月) Computer Knowledge and Technology 电脑知识与技术
Computer Knowledge and Technology 电脑知识与技术
Vol.8, No.6, February 2012 Tel:+86-551-5690963 5690964
基于Iptables 和Linux 策略路由的防火墙实现
金华厅,熊斌杰,杨本祥,伍谦,宋绍云
(玉溪师范学院信息技术工程学院,云南玉溪653100 )
摘要:策略路由是目前硬件路由器支持的一种高级路由技术,路由器不仅可以根据目的IP 地址进行路由选择外,而且还可以根据其
他因素进行路由选择。在Linux 下应用iptables 和策略路由实现防火墙,在功能上更强大,使管理员更灵活方便的控制所需要的转
发,不仅能够根据IP 包的目的地址而且能够根据报文大小或IP 源地址来选择数据包的转发路径,以更好的控制内外网数据包的转
发和限制。
关键词:策略路由;Linux ;iptables ;防火墙
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)06-1273-04
在网络迅速快速发展的今天,互联网络逐渐进入企业和个人的家庭,构建一个安全、稳定和低成本的防火墙是当今趋向。防火
墙是最早的网络安全产品和使用数量最多的安全产品,一直以来得到大多数用户和研发机构的喜爱。而Linux 有其良好的网络性
能和开放源码,使Linux 成为更多的用户选择其作为防火墙的操作平台。Linux 策略路由需结合iptables 才能充分体现其功能的强
大,实际工作中的应用多半基于此。
本课题通过对Iptables 构架分析和策略路由的应用分析从而在Iptables 和Linux 高级路由下实现防火墙的功能,使用管理员更灵
活方便的控制所需要的转发,不仅能够根据IP 包的目的地址而且能够根据报文大小、应用或IP 源地址来选择转发路径,以更好的控
制内外网数据包的转发和限制。
1Netfilter/iptables架构分析
Netfilter/iptables 是集成在Linux2.4 的内核中,是防火墙的核心部分,也是一个通用架构,它包含一系列的“表”(tables ),每个表
许多“链”(chains )构成,而每条链可以由一条或数条“规则”(rule )构成,包过滤处理正是由这些规则来控制的。在Netfilter /iptables
中,使用表(链) 中的INPUT、OUTPUT 和FORWARD 数据包过滤规则。将数据包送到本地主机的输入规则链或是转发规则链是由入
站数据包是否需要经过路由决定的。Netfilter /iptables 数据包的流动过程如图1 所示。
图1 Netfilter包传输
如果目的地址为本地的数据包被INPUT 规则链的规则所接受,数据包就会在本地传送。如果目的地址为外地的数据包被FOR⁃
WARD 规则链的规则接受,数据包就会被送出相应的接口,经本地处理后的外出数据包被送到OUTPUT 规则链。如果数据包被接
受了,就会被送出相应的接口。所有,每个数据包被过滤一次。
用Netfilter 建立防火墙使用iptables 管理命令,iptables 命令执行所建立的防火墙策略管理防火墙的行为,iptables 可以加入、插
入或删除核心包过滤表格(链)中的规则。在iptables 防火墙中提供了三种策略规则表:Filter、NAT 和Mangle ,分别实现包过滤,地址
[1]
转换和处理包内容的功能。
2策略路由
策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由,如何对所需要路由的数据包进
行处理是通过路由图决定的,一个数据包的下一跳转发路由器又是通过路由图决定的。
收稿日期:2012-01-29
本栏目责任编辑:冯蕾
文档评论(0)