《Linux操作系统》课程教学资源（讲义）第七章组建Linux局域网与网络互联（7-3）防火墙的设置

netfilter/iptables 允许为防火墙建立可定制的规则来控制数据包过滤，并且还允许配置有状态的防火墙。 netfilter/iptables 还可以实现 NAT（网络地址转换）和数据包的分割等功能。 netfilter 组件也称为内核空间。

团购合买资源类别：文库，文档格式：DOC，文档页数：4，文件大小：80KB

7.3.1 Netfilter/iptables 简介 netfilter/iptables 允许为防火墙建立可定制的规则来控制数据包过滤，并且还允许配置有状态的防火墙。 netfilter/iptables 还可以实现 NAT（网络地址转换）和数据包的分割等功能。 netfilter 组件也称为内核空间。 iptables 组件是一种工具，也称为用户空间，它使插入、修改和删除数据包过滤表中的规则变得容易。使用用户空间（iptables）构建自己定制的规则，这些规则存储在内核空间的过滤表中。这些规则中的目标告诉内核，对满足条件的数据包采取相应的措施。根据规则处理数据包的类型，将规则添加到不同的链中。处理入站数据包的规则被添加到 INPUT 链中。处理出站数据包的规则被添加到 OUTPUT 链中。处理正在转发的数据包的规则被添加到 FORWARD 链中。这三个链是数据包过滤表（filter）中内置的缺省主规则链。每个链都可以有一个策略，即要执行的缺省操作，当数据包与链中的所有规则都不匹配时，将执行此操作（理想的策略应该丢弃该数据包）。数据包经过 filter 表的过程如图 7-43 所示。图7-43 数据包经过Filter表的过程 7.3.2 iptables 的语法及其使用添加、删除和修改规则的命令语法如下： #iptables [-t table] command [match] [target] 1．table [-t table]有三种可用的表选项：filter、nat 和 mangle。该选项不是必需的，如未指定，则 filter 作为缺省表。 filter 表用于一般的数据包过滤，包含 INPUT、OUTPUT 和 FORWARD 链。 nat 表用于要转发的数据包，包含 PREROUTING、OUTPUT 和 POSTROUTING 链。 mangle 表用于数据包及其头部的更改，包含 PREROUTING 和 OUTPUT 链。 2．command command 是 iptables 命令中最重要的部分，它告诉 iptables 命令要进行的操作，如插入规则、删除规则、将规则添加到链尾等等。常用的一些命令见表 7-3：表 7-3 iptables 常用命令操作命令功能

-A 或 --append 该命令将一条规则附加到链的末尾 -D 或 --delete 通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则 -P 或 --policy 该命令设置链的缺省目标，即策略。所有与链中任何规则都不匹配的数据包都将被强制使用此链的策略 -N 或 --new-chain 用命令中所指定的名称创建一个新链 -F 或 --flush 如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。此参数用于快速清除 -L 或 --list 列出指定链中的所有规则示例： #iptables -A INPUT -s 192.168.0.10 -j ACCEPT 该命令将一条规则附加到 INPUT 链的末尾，确定来自源地址 192.168.0.10 的数据包可以 ACCEPT。 #iptables -D INPUT --dport 80 -j DROP 该命令从 INPUT 链删除规则。 #iptables -P INPUT DROP 该命令将 INPUT 链的缺省目标指定为 DROP。这将丢弃所有与 INPUT 链中任何规则都不匹配的数据包。 3．match match 部分指定数据包与规则匹配所应具有的特征，比如源 IP 地址、目的 IP 地址、协议等。常用的规则匹配器见表 7-4：示例： #iptables -A INPUT -p TCP，UDP #iptables -A INPUT -p ! ICMP #iptables -A OUTPUT -s 192.168.0.10 #iptables -A OUTPUT -s ! 210.43.1.100 #iptables -A INPUT -d 192.168.1.1 #iptables -A OUTPUT -d ! 210.43.1.100 4．target 目标是由规则指定的操作，常用的一些目标和功能说明见表 7-5： 5．保存规则用上述方法建立的规则被保存到内核中，这些规则在系统重启时将丢失。如果希望在系统重启后还能使用这些规则，则必须使用 iptables-save 命令将规则保存到某个文件（iptables-script）中。 #iptables-save > iptables-script 执行如上命令后，数据包过滤表中的所有规则都被保存到 iptables-script 文件中。当系统重启时，可以执行 iptables-restore iptables-script 命令，将规则从文件 iptables-script 中恢复到内核空间的数据包过滤表中

733防火墙的设置妒实例72设置防火墙在终端窗口执行 system- config- securitylevel命令,打开【安全级别设置】窗口,如图7-441 所示。可以启用或停用防火墙。 %下面是一个 iptables的脚本实例,读者要根据自己的环境需求进行相应的调整。 INET IF="ppo"#外网接口 LAN IF=eth0" 内网接口 LAN IP RANGE="192168.1.024”#内网P地址范围,用于NAT #定义变量 MODPROBE="/sbin/modprobe SMODPROBE ip tables #下面9行加载相关模块 SMOdPROBE iptable nat SMODPROBEip nat ftp SMODPROBE ip nat irc SMODPROBEipt mark SMODPROBE ip conntrack SMODPROBE ip conntrack ftp SMODPROBE ipt MASQUERADE for table in filter nat mangle;do#清除所有防火墙规则 SIPT-t STABLE -F SIPT-t STABLE -X SIPT-P INPUT DROP #下面6行设置 filter和nat表的默认策略 SIPT-POUTPUT ACCEPT SIPT-P FORWARD DROP SIPT-t nat-P PREROUTING ACCEPT SIPT-t nat-P POSTROUTING ACCEPT SIPT-t nat-P OUTPUT ACCEPT #允许内网 samba、smp和pop3连接 SIPT-AINPUT-m state -state ESTABLISHED, RELATED-jACCEPT SIPT-A INPUT-p tcp-m multiport--dports 1863, 443, 110, 80, 25-j ACCEPT SIPT-AINPUT-p tcp-S SLAN IP RANGE--dport 139-jACCEPT #允许dns连接 SIPT-A SLAN_IF-p udp-m multiport-dports 53-jACCEPT #为了防止Dos攻击,可以最多允许15个初始连接,超过的将被丢弃 SIPT-A INPUT-S SLAN IP RANGE-ptcp-m state -state ESTABLISHED, RELATED-jACCEPT SIPT-AINPUT-ISINET IF-p tcp--syn- m connlimit--connlimit-above 15-j DROP SIPT-AINPUT-S SLAN_ IP_ RANGE-ptcp-syn-m connlimit--connlimit-above 15-jDROP #设置icmp阈值,记录攻击行为 SIPT-AINPUT-p icmp-m limit--limit 3/s-j LOG--log-level INFO--log-prefix "ICMP packet IN: SIPT-A INPUT-p icmp- m limit--limit 6/m-j ACCEPT SIPT-AINPUT-P icmp-j DROP #开放的端口 SIPT-AINPUT-P TCP-i SINET_IF -dport 21 - ACCEPT FTP SIPT-A INPUT-P TCP-I SINET_IF -dport 22-jACCEPT # SSH SIPT-A INPUT-P TCP-I SINET IF-dport 25-jACCEPT SMTP SIPT-AINPUT-p UDP-iSINET IF--dport 53-jACCEPT DNS SIPT-A INPUT-p TCP-I SINET_ IF --dport 53-jACCEPT DNS

7.3.3 防火墙的设置实例 7-2 设置防火墙在终端窗口执行 system-config-securitylevel 命令，打开【安全级别设置】窗口，如图 7-44 所示。可以启用或停用防火墙。下面是一个 iptables 的脚本实例，读者要根据自己的环境需求进行相应的调整。 #!/bin/bash INET_IF="ppp0" #外网接口 LAN_IF="eth0" #内网接口 LAN_IP_RANGE="192.168.1.0/24" #内网 IP 地址范围，用于 NAT IPT="/sbin/iptables" #定义变量 MODPROBE="/sbin/modprobe" $MODPROBE ip_tables #下面 9 行加载相关模块 $MODPROBE iptable_nat $MODPROBE ip_nat_ftp $MODPROBE ip_nat_irc $MODPROBE ipt_mark $MODPROBE ip_conntrack $MODPROBE ip_conntrack_ftp $MODPROBE ip_conntrack_irc $MODPROBE ipt_MASQUERADE for TABLE in filter nat mangle ; do # 清除所有防火墙规则 $IPT -t $TABLE -F $IPT -t $TABLE -X done $IPT -P INPUT DROP #下面 6 行设置 filter 和 nat 表的默认策略 $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT #允许内网 samba、smtp 和 pop3 连接 $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp -m multiport --dports 1863,443,110,80,25 -j ACCEPT $IPT -A INPUT -p tcp -s $LAN_IP_RANGE --dport 139 -j ACCEPT #允许 dns 连接 $IPT -A INPUT -i $LAN_IF -p udp -m multiport --dports 53 -j ACCEPT #为了防止 Dos 攻击，可以最多允许 15 个初始连接，超过的将被丢弃 $IPT -A INPUT -s $LAN_IP_RANGE -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -i $INET_IF -p tcp --syn -m connlimit --connlimit-above 15 -j DROP $IPT -A INPUT -s $LAN_IP_RANGE -p tcp --syn -m connlimit --connlimit-above 15 -j DROP #设置 icmp 阈值，记录攻击行为 $IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: " $IPT -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT $IPT -A INPUT -p icmp -j DROP #开放的端口 $IPT -A INPUT -p TCP -i $INET_IF --dport 21 -j ACCEPT # FTP $IPT -A INPUT -p TCP -i $INET_IF --dport 22 -j ACCEPT # SSH $IPT -A INPUT -p TCP -i $INET_IF --dport 25 -j ACCEPT # SMTP $IPT -A INPUT -p UDP -i $INET_IF --dport 53 -j ACCEPT # DNS $IPT -A INPUT -p TCP -i $INET_IF --dport 53 -j ACCEPT # DNS

点击进入文档下载页（DOC格式）

已到末页，全文结束

点击下载（DOC格式）

浏览记录