组网课程设计--linux平台下基于iptables的防火墙设计.doc

前言： Linux2.4 内核中Netfilter/Iptables的出现，为构建Linux 下防火墙提供了很好的平台。Iptables 是在Linux 操作系统下基于2.4之上内核版本的集成网络安全工具包。该工具通过编程可以实现多种网络安全功能，如：数据包过滤、状态保持、NAT（Network Address Translation，网络地址转换)以及抵抗攻击等等。 本课程设计主要是针对Linux下iptables的的应用进行学习与研究，结构上可以分为三个部分：Linux防火墙的概述，iptables的的简介以及如何使用iptables来为我们的日常工作所服务。例如在我们的日常工作中的应用到的过滤网址、IP，禁用端口、协议等等。利用iptables这个工具在Linux服务器上实现安全稳定、功能强大的防火墙。目前这也是被企业和高校广泛采用的一种比较成熟的技术。 本次毕设课题研究的实验环境均在虚拟机上实现，使用ubuntu 系统、win xp系统和win 2003系统。 关键词：Linux，防火墙，iptables，规则，过滤 目录： 1 防火墙简介 3 2 iptables简介 4 2.1 iptables的基本概念 4 2 .2 iptables数据包的传输过程 5 3 iptables的使用 6 4 iptables的一些配置实例 8 4.1 一台虚拟机与iptable配置 8 4.2 两台虚拟机连接通信有关的iptables配置 10 4.3 三台虚拟机连接通信有关的iptables配置 14 4.4 基于iptables的nat配置 16 4.5 基于iptables的ftp服务器配置 18 4.6 基于iptables的dns服务器配置 19 5 iptables技巧实例 6课程设计心得 22 7参考书目 23 1 防火墙简介 防火墙是位于不同网络（如可信的企业内部网和不可信的公共网）或网络安全域之间，对网络进行隔离并实现有条件通信的一系列软件/硬件设备的集合。它通过访问控制机制确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。其基本功能是分析出入防火墙的数据包，根据IP包头结合防火墙的规则，来决定是否接收或允许数据包通过。 防火墙系统可以由一台路由器，也可以由一台或一组主机组成。它通常被放置在网络入口处，所有内外部网络通信数据包都必须经过防火墙，接受防火墙的检查，只有符合安全规则的数据才允许通过。 通过使用防火墙可以实现以下功能： 保护内部网络中易受攻击的服务。 控制内外网之间网络系统的访问。 隐藏内部网络的IP地址及结构的细节，提高网络的必威体育官网网址性。　　 对网络存取和访问进行监控和审计。 集中管理内网的安全性，降低管理成本。 2 iptables简介 2.1 iptables的基本概念 在使用iptables之前我们先要理解规则、链、表这3个概念以及iptables传输数据包的过程。 规则 规则(rules)就是网络管理员预先定义的条件，每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数包”。 链 链(chains)是数据包传输的路径，每一条链中可以有一条或数条规则。 表 iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功能。 （1）filter表 filter表是iptables默认的表，如果没有指定使用哪个表，iptables默认使用filter表来执行所有的命令。filter表根据系统管理员预定义的一组规则过滤符合条件的数据包。在filter表中只允许对数据包进行接收、丢弃的操作，而无法对数据包进行更改。 （2）nat表 nat表主要是用于网络地址转换NAT，该表可以实现一对一、一对多、多对多等NAT工作。NAT表包含了PREROUTING链、OUTPUT链和POSTROUTING链。其中PREROUTING链用于处理刚刚进入网络层未进行路由判断的数据包，OUTPUT链用于处理在路由之前本地生成的数据包，POSTROUTING链处理在路由判断之后即将通过网卡发送出去的数据包。 （3）mangle表 某些特殊应用可能需要改写数据包的一些传输特性，例如更改数据包的TTL和TOS等，mangle表主要用于对指定包的传输特性进行修改。 2 .2 iptables数据包的传输过程 数据包通过iptables的具体流程如图所示。 由图可知，当一个数据包进入计算机的网络接口时，数据首先进入POSTROUTING链，然后内核根据路由表决定数据包的目标。若数据包的目的地址是本机，则将数据包送往INPUT链进行规则检查，当数据包进入INPUT链后，系统的任何进程都会收到它，本机上运行