路由器管控功能設计.docVIP

路由器管控功能设计 摘要：路由器是的主要结点设备。路由器通过路由决定数据的转发。转发策略称为路由选择，这也是路由器名称的由来。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP 的国际互联网络Internet的主体脉络，也可以说，路由器构成了Internet的骨架。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部间、专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。Filter（过滤器）：主要与进入Linux本机的数据包有关，为默认的表； INPUT：与进入Linux系统的包有关； OUTPUT：与Linux系统发送的包有关； FORWARD：与Linux系统转发的包有关。 Nat（地址转换）：主要进行源IP地址和目的IP地址或其端口的转换。主要用于有内网的情况。 PREROUTING：存储进行路由判断前所要进行的规则； POSTROUTING：存储路由判断之后所要进行的规则； OUTPUT：与系统发送的包裹有关。 Mangle：这个表格主要与特殊数据包表头有关，较少使用。用到的链有： PREROUTING； INPUT； OUTPUT； FORWARD； POSTROUTING。 基于以上表和链的系统防火墙的运行示意图如下： 该设计主要涉及到nat和filter中规则的制定，用它们来完成路由和IP过滤的功能。 1.1.1．iptables语法 为了实现Linux系统的防火墙功能，需要对在用户态中通过iptables对其进行设置。Iptable定义规则的一般机制(更加具体的语法参照man文档)如下： Iptables [-t table] sub command CHAIN[num][cretiria][-j ACCTION] -t：?????默认没有指定是filter，也可以指定mangle，nat，raw sub_command: ??? rule:? -A(append):追加 ??????? -I(insert):插入，如 -I INPUT 3 ??????? -D（delete）：删除，指定标准或者num 如 -D OUTPUT 8 ??????? -R(replace):替换 -R FORWARD chain：? -F（flush）：清空链 ??????? -N（new）：新增一条链 ??????? -X：删除用户自定义的空链 ??????? -Z：清空计数器;关于计数器：每条规则都有2条计数器 ?????????1：记录被本条规则匹配到的包个数 ?????????2：记录匹配到本条规则到的包的体积之和 ??????? -E：重命名链 ??policy： -P?chain {ACCEPT|DROP} example:将INPUT链的默认策略修改为DROP。 ptables –t filter –P INPUT –j DROP view： -L 显示定义的规则 -n:使用这个选项，就不会去反向解析IP地址的主机名，加快察看速度-v:详细信息，可以多加几个v，越多越详细 -x:精确显示数据包体积  --line-numbers 匹配条件：??-s IP/NETWORK：源地址 ???????-d IP/NETWORK：目标地址 ???????-p {tcp|udp|icmp}：指定协议 ???????-i input interface：指定数据包进入的接口 ???????-o output interface：指定数据包出去的接口 Linux软路由功能 软路由是指利用台式机或服务器配合软件形成路由解决方案，主要靠软件的设置，达成路由器的功能。含有网络周边的拓扑建立的主要目标是为了和静态路由选择。在构造中不直接的传输，而是用于生成一个小型指向表，这个指向表仅仅包含选择的数据包传输优先路径，这通常为了优化硬件存储和查找而被压缩或提前编译。当然Linux也不能例外，但是Linux并没有将这这两种情况进行区分，而是使用“多张路由表”将二者统一了起来。在Linux中，内置了三张路由表： local，main，default，其中local路由表的优先级最高，并且不能被替换，在有数据包进来的时候，首先无条件的查找local路由表，如果找到了路由，则数据包就是发往本机的，如果找不到，则接着在其它的路由表中进行查找。Netmask 子网掩码 g