1 linux防火墙.ppt

第5章 linux防火墙 准备工作 已经认识Shell以及Shell script ； 已经学习过网络基础那一个章节的内容； 已经学习过前一篇认识网络安全 ； 已经学习过路由器那一章节的内容，了解路由的概念； 最好拥有两部主机以上的小型局域网络环境，以方便测试防火墙； Linux主机上最好有两张网卡，可以进行多种测试，并架设NAT主机； 使用uname -r确认linux核心是2.4或2.6版； 认识防火墙 为何需要防火墙 Linux系统上防火墙的主要类别 IP filter (封包过滤机制) Proxy (代理伺服器)  防火墙的一般部属方法与过滤技巧 单一Linux主机兼任防火墙功能 单一Linux防火墙，但LAN内另设防火墙 在防火墙后端的主机设定 iptables至少可以有下面这几种阻止数据包的方式 拒绝让Internet的封包进入Linux主机的某些port 拒绝让某些来源IP的封包进入 拒绝让带有某些特殊旗标( flag )的封包进入 分析硬件位址(MAC)来提供服务  防火墙的使用限制 防火墙不能很有效的抵挡病毒或木马程序 防火墙对于来自内部LAN的攻击无能为力 iptables iptables表格与数据包进入主机的流程 数据包过滤机制 比对 规则的顺序非常重要 有三个表组成 filter表 INPUT（处理进入的包） FORWORD（处理通过的包） OUTPUT（处理本地生成的包) nat表 PREROUTING(修改到来的包)（DNAT/REDIRECT） OUTPUT（修改路由之前本地的包） POSTROUTING(修改准备出去的包)(SNAT/MASQUERADE) mangle表 PREROUTING（修改路由之前进入的包） OUTPUT（修改路由之前本地的包） iptables缺省具有3个规则表 Filter：用于设置包过滤 NAT：用于设置地址转换 Mangle：用于设置网络流量整形等应用 不同的规则表由不同的规则链组成 Filter：INPUT、FORWARD、OUTPUT NAT：PREROUTING、POSTROUTING、OUTPUT Mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD iptables语法 尽量在本机练习，当能熟练掌握后，再远程配置。 filter nat mangle 常用的本机的filter表，和NAT表 root 观察 清除 iptables –L iptalbes –L -n iptalbes –t nat –L –n iptables –F iptables –X iptables –Z 默认策略 iptables –P INPUT　DROP -P 定义默认策略 ACCEPT DROP iptables –A INPUT –i lo –j ACCEPT iptables –A INPUT –i eth0 –s –j ACCEPT iptables -A INPUT -s -j LOG iptables -I INPUT -s -j LOG ACCEPT接受 DROP丢弃 LOG记录 #iptables -A INPUT -s 0 -j DROP # iptables -A INPUT -s /24 -j ACCEPT #iptables –L –n 顺序很重要 TCP UDP等的比对 #iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP #iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT #iptables -A INPUT -i eth0 -p tcp -s /24 --sport 1024:65534 --dport ssh -j DROP #iptables -A INPUT -i eth0 -p tcp --sport 1:1023 \ --dport 1:1023 --syn -j DROP ICMP iptables -A INPUT -p icmp --icmp-type类型-j ACCEPT 类型 一般设置为8 防火墙的启动与停止 设置在系统启动的时候自动启动 chkconfig iptables on 启动iptables /etc/init.d/iptables start Service iptables start 重起网络接口以便让ip包转发 /etc/init.d/network restart 防火