电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

Linux网路安全讲义Netfilter机制与iptableVIP免费

Linux网路安全讲义Netfilter机制与iptable_第1页
1/13
Linux网路安全讲义Netfilter机制与iptable_第2页
2/13
Linux网路安全讲义Netfilter机制与iptable_第3页
3/13
Linux網路安全講義:Netfilter機制與iptables工具一、iptables簡介1.iptables下載與技術資源總站http://www.netfilter.org/。2.使用iptables前先確認核心版本(#uname-r),Kernel必須是2.4以上版本3.演進歷程介紹:-舊版Linux上使用IP-Masquerade的IP偽裝以便於達成該功能。-kernel2.0.x時代,是使用ipfwadm程式。(這個說法不算是完全正確)-kernel2.1.x/2.2.x時代,則是使用ipchains程式,portforwarding需要搭配ipmasqadm程式來輔助才能夠達成。-kernel2.3.x/2.4.x時代,使用netfilter過濾機制,是使用iptables程式。!注意!(Kernel2.4使用netfilterproject的firewall機制,該環境允許使用者使用舊版ipchains設定firewall,不過要先掛入ipchains模組。若是系統已經掛入ipchains模組,要先執行#ipchains-F;ipchains–X;rmmodipchains即可開始使用iptables了。4.目前kernel2.4.x配合使用netfilter核心過濾機制,可以達到的功能相當強悍,netfilter可提供的機制如下:傳統ipchains的任何功能(來源與目的封包過濾、導向、偽裝)。提供SourceNAT與DestinationNAT的功能。可以針對特定使用者、群組、PID等限制網路連結的過濾存取。可以設定封包在RoutingTable進出前時先預先處理。可以針對外面自動建立、與現有連線有關這類連線過濾處理。可以針對Mac卡號直接處理。5.使用iptables前先確認下列核心功能已設定正確:CONFIG_PACKET、CONFIG_NETFILTER、CONFIG_IP_NF_CONNTRACK、CONFIG_IP_NF_FTP、CONFIG_IP_NF_IPTABLES、CONFIG_IP_NF_MATCH_LIMIT、CONFIG_IP_NF_MATCH_MAC、CONFIG_IP_NF_MATCH_MARK、CONFIG_IP_NF_MATCH_MULTIPORT、CONFIG_IP_NF_MATCH_TOS、CONFIG_IP_NF_MATCH_TCPMSS、CONFIG_IP_NF_MATCH_STATE、CONFIG_IP_NF_MATCH_UNCLEAN、CONFIG_IP_NF_MATCH_OWNER、CONFIG_IP_NF_FILTER、CONFIG_IP_NF_TARGET_REJECT、CONFIG_IP_NF_TARGET_MIRROR、CONFIG_IP_NF_NAT、CONFIG_IP_NF_TARGET_MASQUERADE、CONFIG_IP_NF_TARGET_REDIRECT、CONFIG_IP_NF_TARGET_LOG、CONFIG_IP_NF_TARGET_TCPMSS、CONFIG_IP_NF_COMPAT_IPCHAINS、CONFIG_IP_NF_COMPAT_IPFWADM。二、基本原理1.iptables預設的Table&Chains組合(User可以自訂chains)2.各種封包的處理流程(一)3.各種封包的處理流程(二)規則鏈(chains)執行時機PREROUTING封包進入本機,在判斷路由前INPUT通過路由表後,目的地為本機FORWARD通過路由表後,目的地不是本機OUTPUT由本機主動建立的封包,在通過路由表前POSTROUTING通過路由表後,要發送出去前4.封包過濾流程(三)過濾表(Table)說明filter過濾透通本機的封包(預設)nat轉譯封包位址資訊mangle修改或標註封包ForwardPacketProcessingInputPacketProcessingOutputPacketProcessingPREROUTINGINPUTOUTPUTFORWARDPOSTROUTINGLocalProcessRouteTable5.IPPacketHeader#iptables–tfilter–AINPUT–ieth0–ptcp–sany/0--sport80–d185.100.35.1–jACCEPT指定table(預設為filtertable)指定action指定比對rule指定rule延伸選項處理方式三、指令介紹1.iptables指令包含以下四項元件:tableACTION<命令>rulespecification-pattern<比對規則>extension<延伸選項>netfilter處理判斷順序:TablesChainsRulesPolicy語法:#iptables[-tTABLE]ACTION[PATTERN][-jTARGET][-t]:如不指定預設為filtertable,可指定為”-tnat”或”-tmangle”ACTION:要操作的動作,若未指定哪個Chain,則為該Table中所有的Chains。常用的指令包含ACTION指令長指令說明-LCHAIN--listCHAIN顯示CHAIN中的所有規則-ACHAIN--appendCHAIN對CHAIN新增一條規則-DCHAIN--deleteCHAIN刪除CHAIN中的一條規則-ICHAIN--insertCHAIN在CHAIN中插入一條規則-RCHAIN--replaceCHAIN替換CHAIN中的某一條規則-PCHAIN--policyCHAIN對CHAIN設定預設的Policy;只有內建的chains可以指定policy;policy不可指定為另一個chain-FCHAIN--flushCHAIN清除CHAIN中所有規則-NUSER-CHAIN--new-chainUSER-CHAIN自訂一個USER-CHAIN-X...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

Linux网路安全讲义Netfilter机制与iptable

确认删除?