iptables防火墙打造安全网络.docx_第1页
iptables防火墙打造安全网络.docx_第2页
iptables防火墙打造安全网络.docx_第3页
iptables防火墙打造安全网络.docx_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

iptables防火墙打造安全网络安全,在网络中一直是一个亘古不变的话题。只有网络存在就会存在安全问题,你就会面临被攻击的风险。在Linux2.4内核之后使用iptables/netfilter网络架构实现报过滤的防火墙。在一定程度上取代硬件防火墙的常用功能,打造一个安全的网络环境 所谓“包过滤”技术,也就是通过匹配数据的“五元组”-源ip、目的ip、源port、目的port和协议(ip,tcp,udp,icmp等)。一般的网络防火墙也就是通过对这些数据进行匹配,来保证内网安全的。 iptables与netfilter 一、首先要明确这两个概念: 1.linux的防火墙是linux的内核实现的,而不是系统中的服务程序实现的,linux的内核是使用netfilter架构实现这个功能的。 2.iptables只是netfilter的管理工具而已。通过对iptables的管理来实现防火墙的策略。 二、iptables中的“三项纪律”和“五大注意” 1.三项纪律:nat filter以及mangle 2.五大注意:PREROUTING、FORWARD、POSTROUTING、INPUT、OUTPUT 其框架图如下: -PREROUTING-ROUTING-FORWARD-POSTROUTING mangle | mangle mangle nat | filter | nat | | | INPUT OUTPUT | mangle | mangle filter | nat filter |-Local-| 其中filter、nat、mangel为规则表,其他五个为规则链。其中规则包含在链中,而规则链包含在规则表中。nat针对地址转换、filter针对包过滤(用得最多的也就是它了)、mangel针对策略路由和流量整形(有点QOS的味道),规则链的分配如下: * filter:INPUT、FORWARD、OUTPUT * nat :PREROUTING、POSTROUTING、OUTPUT * mangel:PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD三、iptables的语法以及命令概述 1.iptables -t 表 规则号码匹配条件-j执行动作 2.操作命令为A、D、I、R、P、F、Z -A:追加一条规则 -D:删除规则 -I:插入规则号码 -N:修改表名-R:替代一条规则 -P:设置默认规则 -F:清空规则 -Z:计数归零 3.查看-vnxLv:详细信息 n:显示ip地址以及端口号 x:在v的基础上禁止单位换算(k) -L 以列表的形式显示出来 4.匹配条件-i:流入接口 -o:流出接口 -s:源地址 -d:目的地址 -m 匹配-sport:源端口 -dport:目的端口 -p:协议(注意是小写哦) 5.处理动作 ACCEPT: 允许(相当于cisco-acl中的permit)REJECT: 拒绝(相当于cisco-acl中的deny)DNAT : 目的地址转换与PREROUTING表、-i结合使用SNAT : 源地址转换与POSTROUTING表、-o结合使用MASQUERADE:源地址伪装 5.附加模块(一定要跟-m结合使用) state:按包状态匹配limit:按包速率匹配(可以防止SYN FLOOD跟DOS攻击哦)mac :按mac地址匹配(这个用得不多)multicport:按照多端口匹配四、实例分析 1.单服务器的防护(以www服务器为例) 一定要保存,记得用-vnL look look查看啊! * iptables -A INPUT -i l0 -j ACCEPT * iptables -A INPUT -p tcp -m multiports -dports 22,80 -j ACCEPT * iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT * iptables -P DROP * iptables-save 2.做网关服务器 a.记得弄清楚网络拓扑(内网以/24为例) b.本机上网 c.设置nat(启用nat,实现MASQUERADE ip伪装) echo “1” /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s /24 -o ppp0 -j MASQUERADE 3.限制内网访问 iptables -A FORWARD -s 00 -j DROPiptables -A FORWARD -m mac mac-source 11-22-33-44-55 -j DROPiptables -A FORWARD -d -j REJECT 4.内网做对外服务器 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 -j DNAT -to :80 其中80为真正的服务端口,/24为内网地址 ppp0为外网接口。 5.预防SYN flood以及DDOSiptables -A INPUT -i ppp0 -p tcp -tcp-flags ! FIN SYN,ACK SYN -m limit ! -limit 100/s -j ACCEPTiptables -A INPUT -i ppp0 -p tcp -j DROP 以每秒超过了100个SYN位为1的包,而ACK为0,就进行drop,记得limit后面一定

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论