红帽系统学习17.ppt

本章内容 Linux下防火墙的基本设置 主机防火墙 NAT网络地址转换 Linux防火墙概述 Linux系统的防火墙功能是由内核实现的 2.0 版内核中，包过滤机制是ipfw，管理工具是ipfwadm 2.2 版内核中，包过滤机制是ipchain，管理工具是ipchains 2.4 版及以后的内核中，包过滤机制是netfilter，管理工具是iptables Linux防火墙概述 netfilter 位于Linux内核中的包过滤防火墙功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables，是用来管理防火墙的命令工具 为防火墙体系提供过滤规则/策略，决定如何过滤或处理到达防火墙主机的数据包 称为Linux防火墙的“用户态” —— 习惯上，上述2种称呼都可以代表Linux防火墙 Linux防火墙概述 包过滤防火墙工作在TCP/IP的网络层 防火墙配置 防火墙配置 使用iptables命令进行策略设置 iptables命令是对防火墙配置管理的核心命令 iptables命令提供了丰富的功能，可以对Linux内核中的netfilter防火墙进行各种策略的设置 iptables命令的设置在系统中是即时生效的 使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失 使用iptables-save命令保存设置 iptables-save命令提供了防火墙配置的保存功能 iptables-save命令缺省只将配置信息显示到标准输出（屏幕）中 # iptables-save 如果需要将iptables-save命令的输出保存，需要将命令输出结果重定向到指定的文件中 # iptables-save ipt.v1.0 使用iptables-save命令可以将多个版本的配置保存到不同的文件中 使用iptables脚本保存防火墙设置 iptables脚本可以保存当前防火墙配置 在保存防火墙当前配置前应先将原有配置进行备份 # cp /etc/sysconfig/iptables iptables.raw iptables脚本的save命令可以保存防火墙配置 # service iptables save 配置内容将保存在“/etc/sysconfig/iptables”文件中，文件原有的内容将被覆盖 iptables的规则表、链结构 规则链 规则的作用在于对数据包进行过滤或处理，根据处理时机的不同，各种规则被组织在不同的“链”中 规则链是防火墙规则/策略的集合 默认的5种规则链 INPUT：处理入站数据包 OUTPUT：处理出站数据包 FORWARD：处理转发数据包 POSTROUTING链：在进行路由选择后处理数据包 PREROUTING链：在进行路由选择前处理数据包 iptables的规则表、链结构 规则表 具有某一类相似用途的防火墙规则，按照不同处理时机区分到不同的规则链以后，被归置到不同的“表”中 规则表是规则链的集合 默认的4个规则表 raw表：确定是否对该数据包进行状态跟踪 mangle表：为数据包设置标记 nat表：修改数据包中的源、目标IP地址或端口 filter表：确定是否放行该数据包（过滤） iptables的规则表、链结构 数据包过滤匹配流程 规则表间的优先顺序 依次为：raw、mangle、nat、filter 规则链间的匹配顺序 入站数据：PREROUTING、INPUT 出站数据：OUTPUT、POSTROUTING 转发数据：PREROUTING、FORWARD、POSTROUTING 规则链内的匹配顺序 按顺序依次进行检查，找到相匹配的规则即停止（LOG策略会有例外） 若在该链内找不到相匹配的规则，则按该链的默认策略处理 数据包过滤匹配流程 管理和设置iptables规则 iptables命令的语法格式 iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转] 几个注意事项 不指定表名时，默认表示filter表 不指定链名时，默认表示该表内所有链 除非设置规则链的缺省策略，否则需要指定匹配条件 iptables命令的管理选项 设置规则内容： -A：在链尾追加一条新的规则 -I：在指定位置（或链首）插入一条新的规则 -R：修改、替换指定位置或内容的规则 -P：设置指定链的默认策略 列表查看规则 -L：列表查看各条规则信息 --line-numbers：查看规则信息时显示规则的行号 -n：以数字形式显示IP地址、端口等信息 -v：显示数据包个数、字节数等详细信息 iptables命令的管理选项 清除规则 -D：删除指定位置或内容的规则 -F：清空规则链内的所有规则 自定义规则链 -N：