Linux网路安全讲义Netfilter机制与iptableVIP免费

第1页共19页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共19页Linux網路安全講義:Netfilter機制與iptables工具一、iptables簡介1.iptables下載與技術資源總站http://www.netfilter.org/。2.使用iptables前先確認核心版本(#uname-r)，Kernel必須是2.4以上版本3.演進歷程介紹:-舊版Linux上使用IP-Masquerade的IP偽裝以便於達成該功能。-kernel2.0.x時代，是使用ipfwadm程式。(這個說法不算是完全正確)-kernel2.1.x/2.2.x時代，則是使用ipchains程式，portforwarding需要搭配ipmasqadm程式來輔助才能夠達成。-kernel2.3.x/2.4.x時代，使用netfilter過濾機制，是使用iptables程式。！注意！(Kernel2.4使用netfilterproject的firewall機制，該環境允許使用者使用舊版ipchains設定firewall，不過要先掛入ipchains模組。若是系統已經掛入ipchains模組，要先執行#ipchains-F;ipchains–X；rmmodipchains即可開始使用iptables了。4.目前kernel2.4.x配合使用netfilter核心過濾機制，可以達到的功能相當強悍，netfilter可提供的機制如下：傳統ipchains的任何功能(來源與目的封包過濾、導向、偽裝)。提供SourceNAT與DestinationNAT的功能。可以針對特定使用者、群組、PID等限制網路連結的過濾存取。可以設定封包在RoutingTable進出前時先預先處理。可以針對外面自動建立、與現有連線有關這類連線過濾處理。可以針對Mac卡號直接處理。5.使用iptables前先確認下列核心功能已設定正確：CONFIG_PACKET、CONFIG_NETFILTER、CONFIG_IP_NF_CONNTRACK、CONFIG_IP_NF_FTP、CONFIG_IP_NF_IPTABLES、CONFIG_IP_NF_MATCH_LIMIT、CONFIG_IP_NF_MATCH_MAC、CONFIG_IP_NF_MATCH_MARK、CONFIG_IP_NF_MATCH_MULTIPORT、CONFIG_IP_NF_MATCH_TOS、CONFIG_IP_NF_MATCH_TCPMSS、CONFIG_IP_NF_MATCH_STATE、CONFIG_IP_NF_MATCH_UNCLEAN、CONFIG_IP_NF_MATCH_OWNER、CONFIG_IP_NF_FILTER、CONFIG_IP_NF_TARGET_REJECT、CONFIG_IP_NF_TARGET_MIRROR、CONFIG_IP_NF_NAT、CONFIG_IP_NF_TARGET_MASQUERADE、CONFIG_IP_NF_TARGET_REDIRECT、CONFIG_IP_NF_TARGET_LOG、CONFIG_IP_NF_TARGET_TCPMSS、CONFIG_IP_NF_COMPAT_IPCHAINS、CONFIG_IP_NF_COMPAT_IPFWADM。第2页共19页第1页共19页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共19页二、基本原理1.iptables預設的Table&Chains組合(User可以自訂chains)2.各種封包的處理流程(一)3.各種封包的處理流程(二)過濾表(Table)說明filter過濾透通本機的封包(預設)nat轉譯封包位址資訊mangle修改或標註封包ForwardPacketProcessingInputPacketProcessingOutputPacketProcessing第3页共19页第2页共19页PREROUTINGINPUTOUTPUTFORWARDPOSTROUTINGLocalProcessRouteTable编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共19页規則鏈(chains)執行時機PREROUTING封包進入本機，在判斷路由前INPUT通過路由表後，目的地為本機FORWARD通過路由表後，目的地不是本機OUTPUT由本機主動建立的封包，在通過路由表前POSTROUTING通過路由表後，要發送出去前4.封包過濾流程(三)5.IPPacketHeader第4页共19页第3页共19页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第4页共19页第5页共19页第4页共19页#iptables–tfilter–AINPUT–ieth0–ptcp–sany/0--sport80–d185.100.35.1–jACCEPT指定table(預設為filtertable)指定action指定比對rule指定rule延伸選項處理方式编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第5页共19页三、指令介紹1.iptables指令包含以下四項元件:tableACTION<命令>rulespecification-pattern<比對規則>extension<延伸選項>netfilter處理判斷順序：TablesChainsRulesPolicy語法:#iptables[-tTABLE]ACTION[PATTERN][-jTARGET][-t]:如不指定預設為filtertable，可指定為”-tnat”或”-tmangle”ACTION：要操作的動作，若未指定哪個Chain，則為該Table中所有的Chains。常用的指令包含ACTION指令長指令說明-LCHAIN--listCHAIN顯...