linux下iptables配置上

Linux下的iptables配置

1. 目标

1).能正确的描述IP和ROUTING

2).了解iptables netfilter的结构

3).灵活运用iptables命令

4).重点学习,理解,灵活运用于实际生活中NAT转换

2.iptables功能简介及工作原理

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网.

iptables在我们的工作中起着极其重要的作用,我们每个接触电脑用户几乎难以离开它,在有意或者无意中都一直在跟iptbles打交道,我们平时用的360,金山,小红伞,诺顿都相当于是防火墙,在时时刻刻保护着我们的系统不受外界入侵.需要知道的是我们平时用的都是软防火墙,功能简单易于配置,真正用于企业中的是硬件防火墙,有专门的防火墙来保护公司的信息安全,当然其价钱也是极其昂贵的.下面我们就虚拟机来模拟iptables的功能来深入了解其工作原理.

防火墙的过滤功能根据防范的方式和侧重点的不同分为两种情况：简单的包过滤和基于状态检测的包过滤.基于简单的包过滤只检查包头,基于状态检测的包过滤可以检查数据内容,想对来说比较复杂,但功能及其强大,这也是我们真正在实际工作中要用到的,我们在下面的学习中将一点一点来展示其强大的功能.包过滤工作原理我们用下图来具体说明,

A．当基于简单的包过滤时,我们只检查到第三层和第四层中间（icmp）工作过程如下：

① 数据包从外网传送到防火墙后,防火墙抢在IP层向TCP层传送前,将数据包转发给包检查模块进行处理. 拥有帝国一切，皆有可能。欢迎访问phome.net

② 与第一个过滤规则比较.

③ 如果与第一个模块相同,则对它进行审核,判断是否转发该数据包,这时审核结果是转发数据包,则将数据包发送到TCP层进行处理,否则就将它丢弃.

④ 如果与第一个过滤规则不同,则接着与第二个规则相比较,如果相同则对它进行审核,过程与③相同.

⑤ 如果与第二个过滤规则不同,则继续与下一个过滤规则比较,直到与所有过滤规则比较完成.要是所有过滤规则都不满足,就将数据包丢弃.

B．当基于状态检测的包过滤时,其工作方式和基于简单的包过滤方式一致,但其在审核规则时都拷贝一份放到缓存中,如果包头过滤通过,直接放行；如果不通过则直接检查应用层的数据,如果审核通过,则放行,如果审核不通过,则只把应用层的数据丢弃,这样一传送的数据缺失也会失效.

3.iptables的内部数据流传输过程

iptables基础知识：

iptables由表 (tables),链(chains),规则(rules)组成

默认iptables内置了四个表（tables）：filter表 nat表 mangle表和raw表

五个链：INPUT ,OUTPUT ,PREROUTING ,POSTROUTING ,FORWARD

filter表:INPUT ,OUTPUT ,FORWARD

nat表:PREROUTING ,POSTROUTING, OUTPUT

mangle表:ALL（跟路由无关,在任何点都行,ye最高）

raw表：

iptables传输数据包的过程 ,如图

① 当一个数据包进入网卡时,它进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去.

② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链.数据包到了INPUT链后,任何进程都会收到它.本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出.

③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图10-4所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出. 拥有帝国一切，皆有可能。欢迎访问phome.net

上面这幅图是我借鉴别人的,下面这幅是我自己画的,（丑了点,呵呵）,但是是自己的理解

图中黄色的为五个链,希望这幅图可以形象的表达出我的意思.防火墙不管数据的流向,只要是有数据通过,只要通过就遵循数据检查

4 i

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!