LINUX防火墻及其配置許永全15610093內容防火墻概述Iptables防火墻的安裝和配置防火墻概述在計算機網絡中，防火墻是一種裝置，它是由軟件或硬件設備組合而成，通常處于企業的內部局域網與Internet之間，限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問Internet的權限。它實際上是一種隔離技術，是在兩個網絡通訊時執行的一種訪問控制策略，它能允許“可以訪問”的人和數據進入網絡，同時將“不允許訪問”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問網絡。如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。防火墻的功能防火墻由于處于網絡邊界的特殊位置，因而被設計集成了非常多的安全防護功能和網絡連接管理功能。1．防火墻的訪問控制功能2．防火墻的防止外部攻擊3．防火墻的地址轉換4．防火墻的日志與報警5．防火墻的身份認證防火墻技術按照實現技術分類防火墻的基本類型有：包過濾型；代理服務型；狀態檢測型。防火墻的包過濾技術包過濾（PacketFilter）通常安裝在路由器上，并且大多數商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制，它控制哪些數據包可以進出網絡而哪些數據包應被網絡所拒絕。防火墻的應用代理技術代理服務（ProxyService）系統一般安裝并運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機，與雙宿主機相連的外部網絡與內部網絡之間在網絡層是被斷開的。這樣做的目的是使外部網絡無法了解內部網絡的拓撲。這與包過濾防火墻明顯不同，就邏輯拓撲而言，代理服務型防火墻要比包過濾型更安全。防火墻的狀態檢測技術狀態檢測防火墻在網絡層由一個檢測模塊截獲數據包，并抽取與應用層狀態有關的信息，并以此作為依據決定對該連接是接受還是拒絕。檢測模塊維護一個動態的狀態信息表，并對后續的數據包進行檢查。一旦發現任何連接的參數有意外的變化，該連接就被中止。這種技術提供了高度安全的解決方案，同時也具有較好的適應性和可擴展性。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性。狀態檢測檢查OSI七層模型的所有層，以決定是否過濾，而不僅僅對網絡層檢測，狀態檢測型防火墻如圖所示。狀態檢測技術首先由CheckPoint公司提出并實現。目前許多包過濾防火墻中都使用多層狀態檢測。IPTABLES簡介Netfilter/iptables（以下簡稱為iptables）組成Linux平臺下的包過濾防火墻，與大多數Linux下的軟件一樣，這個包過濾防火墻是免費的，它可以替代昂貴的商業級防火墻，完成數據包過濾、數據包重定向和網絡地址轉換（NAT）等功能。IPTABLES簡介（續）iptables/netfilter包過濾防火墻其實由兩個組件構成，一個是netfilter、一個是iptables。iptables只是一個管理內核包過濾的根據，它可以加入、插入或刪除核心包過濾表格（鏈）中的規則，這些規則告訴內核中的netfilter組件如何去處理信息包。也就是說，實際上真正執行這些過濾規則的是netfilter及相關模塊（如iptables模塊和nat模塊）。netfilter是Linux內核中的一個通用架構，它提供了一系列的表（tables），每個表由若干個鏈（chains）組成，而每個鏈可以由一條或若干條規則（rule）組成。可以這樣理解，netfilter是表的容器，表是鏈的容器，而鏈又是規則的容器。IPTABLES簡介（續）系統缺省的表為“filter”，該表中包含了INPUT、FORWARD、OUTPUT等3個鏈。每一個鏈中有一條或數條規則，每一條規則都是這樣定義的“如果數據包頭符合這樣的條件，就這樣處理數據包”。當一個數據包到達一個鏈時，系統就會從第一條規則開始檢查，看是否符合該規則所定義的條件：如果滿足，系統將根據該條規則所定義的方法處理該數據包；如果不滿足則繼續檢查下一條規則。最后，如果該數據包不符合該鏈中任一條規則，系統就會根據該鏈預先定義的策略（policy）來處理該數據包。IPTABLES的規則、鏈和表在使用iptables之前，必須先理解規則、鏈和表的概念。下面就開始分別介紹這3個概念。IPTABLES的規則（RULES）規則就是網絡管理員預定義的條件，規則一般定義為“如果數據包符合這樣的條件，就這樣處理這個數據包”。規則存儲在內核空間的信息包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（TCP、UDP和ICMP）和服務類型（如HTTP、FTP和DNS）。當數據包與規則匹配時，iptables就會根據規則所定義的方法來處理這些數據包，如允許通過（ACCEPT）、拒絕（REJECT）和丟棄（DROP）等。配置防火墻主要就是添加、修改和刪除這些規則。IPTABLES的鏈（CHAINS）鏈（chains）是數據包傳播的路徑，每一個鏈其實就是眾多規則中的一個檢查清單，每一個鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中的第一條規則開始檢查，看該數據包是否滿足規則所定義的條件，如果滿足，系統就會根據該條規則所定義的方法處理該數據包，否則iptables將繼續檢查下一條規則。如果該數據包不符合鏈中任一套規則，iptables就會根據該鏈預先定義的默認策略來處理數據包。IPTABLES的表（TABLES）表（tables）提供特定的功能，iptables內置3個表，即filter表、nat表和managle表，分別用于實現包過濾、網絡地址轉換（nat）和包重構的功能。filter表。nat表managle表IPTABLES傳輸數據包的過程iptables對數據包的傳輸有特定的處理過程。如圖所示。IPTABLES傳輸數據包的過程（續）當一個數據包進入網卡時，它首先進入PREROUTING鏈，系統根據數據包的目的地址判斷是否需要轉發出去。可能有以下3種情況：如果數據包的目的地址是本機，則系統將數據包送往INPUT鏈，如果通過規則檢查，則將該數據包發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個包丟棄。如果數據包的目的地址不是本機，也就是說，這個包將被轉發，則系統將數據包送往FORWARD鏈，如果通過規則檢查，則該數據包被發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個數據包丟棄。如果數據包是由本地系統進程產生的，則系統將其發送到OUTPUT鏈，如果通過規則檢查，則該數據包被發給相應的本地進程處理；如果沒有通過規則檢查，系統就會將這個包丟棄。防火墻的關閉由于系統的防火墻功能也是使用iptables實現的，因此系統會根據用戶的設置在iptables添加相應的規則，這些規則可能會與本章后面的配置的規則相沖突。因此，在配置iptables防火墻之前，建議先關閉系統的防火墻功能。

[root@localhosthome]#setupfirewallIptables的配置IPTABLES的命令格式iptables的命令格式較為復雜，一般的格式如下：iptables[-t表]-命令

匹配

操作需要注意的是，iptables對所有的選項和參數都區分大小寫，例如大寫字母的-P參數和小寫字母的-p參數代表著不同的意思。表選項表選項用于指定命令應用到哪個iptables內置表。iptables的內置表包括filter表、nat表和managle表。IPTABLES的命令選項命令選項用于指定iptables的執行方式，包括插入規則、刪除規則和添加規則等。下表15-1為iptables的命令選項命令說明-P或--policy<鏈名>定義默認策略-L或--list<鏈名>查看iptables規則列表-A或--append<鏈名>在規則列表的最后增加1條規則-I或--insert<鏈名>在指定的位置插入1條規則-D或--delete<鏈名>在規則列表中刪除1條規則-R或--replace<鏈名>替換規則列表中的某條規則-F或--flush<鏈名>刪除表中的所有規則-Z或--zero<鏈名>將表中所有鏈的計數和流量計算器都清零IPTABLES的匹配選項匹配選項指定數據包與規則匹配所應具有的特征，包括源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和端口號（如80、21、25）等，如表15-2所示。下表15-2為iptables的匹配選項匹配說明-i或--in--interface<網絡接口名>指定數據包是從哪個網絡接口進入，如ppp0，eth0和eth1等-o或--out--interface<網絡接口名>指定數據包是從哪個網絡接口輸出，如ppp0，eth0和eth1等-p或—proto<協議類型>指定數據包匹配的協議，如TCP、UDP和ICMP等-s或--source<源地址或子網>指定數據包匹配的源地址-sport<源端口號>指定數據包匹配的源端口號，可以使用“起始端口號：結束端口號”的格式指定一個端口的范圍-d或--destination<目標地址與子網>指定數據包匹配的目標地址-dport<目標端口號>指定數據包匹配的目標端口號，可以使用“起始端口號：結束端口號”的格式指定一個端口的范圍IPTABLES的動作選項動作選項指定當數據包與規則匹配時，應該做什么操作，如接受或丟棄等，如表15-3所示。下表15-3為iptables的動作選項動作說明ACCEPT接受數據包DROP丟棄數據包REDIRECT將數據包重新轉向本機或另一臺主機的某個端口，通常用功能實現透明代理或對外開放內網的某些服務SNAT源地址轉換，即改變數據包的源地址DNAT目標地址轉換，即改變數據包的目標地址MASQUERADEIP偽裝，即常說的NAT技術。MASQUERADE只能用于SDSL等撥號上網的IP偽裝，也就是主機的IP地址是由ISP動態分配的；如果主機的IP地址是靜態固定的，就要使用SNATLOG日志功能，將符合規則的數據包的相關信息記錄在日志中，以便管理員進行分析和排錯查看IPTABLES規則在初始狀態，iptables并沒有規則，但是如果在安裝時選擇自動安裝防火墻，這時系統中就會有默認的規則存在，那