首页 > > > 基于Linux的netfilteriptables防火墙的实现.pdf

基于Linux的netfilteriptables防火墙的实现.pdf

基于Linux的netfilteriptables防火墙的实现…

上传者: 用户luzynxnkft 2014-03-28 评分1 评论0 下载0 收藏10 阅读量586 暂无简介 简介 举报

简介:本文档为《基于Linux的netfilteriptables防火墙的实现pdf》,可适用于电子通讯领域,主题内容包含第l卷第期通化师范学院学报V.l年月JOURNALOFTONGHUATEACHERSCOLLEGEFeb.基于Linux的netfiher/ipta符等。

第3l卷第2期 通化师范学院学报 V01.3l2 2010年2月 JOURNALOFTONGHUATEACHERSCOLLEGE Feb.2010 基于Linux的netfiher/iptables防火墙的实现 王继魁 (吉林师范大学tl-舅t机学院。吉林四平136000) 摘要:目前,防火墙作为一种有效的网络安全机制被广泛的应用,Linux平台以其稳定、健壮及廉价的特性取得广泛的应用, Hnux防火墙技术也逐渐被认可.文中分析了Linux下netfilter/iptables的结构框架及其使用方法,并给出了一个防火墙实例. 关键词:linux;nedilter/iptables;防火墙 中图分类号:TP309文献标志码:A文章编号:1008-7974(2010)02—0055—02 收稿日期:2009一ll一26 作者简介:王继魁(1981一),男,吉林四平市,吉林师范大学计算机学院教师. 防火墙是能够在不同的网络之间,明显区隔出实体线路 联机的软件和硬件设备组合.被区隔开来的网络,能够透过 封包转送技术来相互通讯,透过防火墙的安全管理机制,能 够决定数据流通问题,以达到网络安全保护的目的. 防火墙可概略归类为硬件式防火墙和软件式防火墙,但 实际上无论是硬件式或软件式防火墙,他们都需要使用硬件 作为联机介质和使用软件来设定安全策略.硬件式防火墙是 使用专有的硬件和操作系统,而软件式防火墙则可使用一般 的电脑硬件和通用的操作系统. 硬件式防火墙费用昂贵,中小型用户难以支付.而Linux 提供了一个非常优秀的防火墙工具netfilter/iptables.它完全 免费、功能强大、使用灵活、可以对流人和流出的信息进行细 化控制,且可以在廉价PC机上很好地运行.本文将对使用 nemlter/iptabl船实现防火墙的架设进行阐述. 1 netfiher/iptables结构框架 1.1 netfdter/iptables简介 netfiher/iptables被认为是Linux中实现包过滤功能的第 四代应用程序.netfiher/iptables包含在Linux2.4以后的内核 中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分 割等功能.netfalter工作在内核内部,而iptables则是让用户 定义规则集的表结构.netfilter/iptables从ipchaim和ipwadfm (P防火墙管理)演化而来,功能更加强大. 1.2 netfilter/iptables包处理 内核模块可以注册一个新的规则表(table),并要求数据 报流经指定的规则表.这种数据报选择用于实现数据报过滤 (filter表),网络地址转换(NAT表)及数据报处理(marIgle 表).LinLLX2.4内核提供的这三种数据报处理功能都基于 netllher的钩子函数和IP表.它们是独立的模块,相互之间是 独立的.它们都完美的集成到由Netfileter提供的框架中. (I)包过滤.filter表格不会对数据报进行修改,而只对 数据报进行过滤.iptables优于ipehmm的一个方面就是它更 为小巧和快速.它是通过钩子函数NF_.IPLOCAL_IN,NF_IP J'oRWARD及NF_IP—LOCAL—OUT接入netfiher框架的,如 图1.因此对于任伺—个数据报只有一个地方对其进行过滤. (2)NAT.NAT表格监听三个Netfiher钩子函数:NF_IP_ PRE~ROUTING、NF—IP—POST—ROUTING及NF—IP—LOCAL— OUT,如图1.NFjePRE—ROUTING实现对需要转发的数据 报的源地址进行地址转换,而NF—IP—POST—ROUTING则对 需要转发的数据包的目的地址进行地址转换.对于本地数据 报的目的地址的转换则由NF—IP—LOCAL—OUT来实现.NAT 表格不同于filter表格,因为只有新连接的第一个数据报将 遍历表格,而随后的数据报将根据第一个数据报的结果进行 同样的转换处理.NAT表格被用在源NAT、目的NAT、伪装 (其是源NAT的一个特例)及透明代理(其是目的NAT的一 个特例). (3)数据报处理(Packetmangling).mangle表格在NF— nPRE—ROUTING和NF-nLOCAL—OUT钩子中进行注册。 如图1.使用mangle表,可以实现对数据报的修改或给数据 报些带外数据.当前m蛐gle表支持修改TOS位及设置skb的 nfmard字段. 图1 netfilter框架结构图 2 iptables用法 Iptables基本语法: iptables[一ttable]command[match][target]. (1)表(table).[一ttable]选项允许使用标准表之外的 任何表.表是包含仅处理特定类型附上一信息包的规则和链 的信息包过滤表.有三个可用的表选项:filter、nat和m趿gle. 该选项不是必需的,如果未指定,则falter作为缺省表. (2)命令(command).command部分是iptables命令最重 要的部分.它告诉iptables命令要做什么,例如插入规则、将 规则添加到链的末尾或删除规则. 55 万方数据 一A该命令将一条规则附加到链的末尾. 一D该命令从链中删除该规则. 一P该命令设置链的缺省目标,即策略. 一N用命令中所指定的名称创建一个新链. 一F此参数用于快速清除. (3)匹配(match).iptables命令的可选match部分指定 信息包与规则匹配所应具有的特征(如源地址、目的地址、协 议等). 一P通协议匹配用于检查某些特定协议. 一8该源匹配用于根据信息包的源IP地址来与它们匹 配. 一d该目的地匹配用于根据信息包的目的地IP地址来 与它匹配. (4)目标(target).目标是由规则指定的操作,对与那些 规则匹配的信息包执行这些操作.除了允许用户定义的目标 之外,还有许多可用的目标选项. ACCEPT接收该数据包. DROP丢弃该数据包. REJECT丢弃该数据包,并将错误消息发回给信息包的 发送方. RETURN返回到前面调用的链. 3防火墙实例 假设网络环境如下:在主机A架设防火墙.主机A安装 双网卡ethO和ethl,eth0为接人Intemet,ethl接入局域网.IP 地址设定如下: ethO:198.199.37.254 ethl:198.168.80.254 局域网内存在以下服务器: www服务器:198.168.80.11 郇服务器:198.168.80.12 email服务器:198.168.80.13 下面将用iptabhs建立包过滤防火墙,主要是对内部的 各种服务器提供保护. (1)在/etc/rc.d/目录下用touch命令建立firewall文件, 执行chmodu+xfirewall增加文件可执行权限,编辑/ete/re. d/re.10cal文件,在末尾加上/ete/re.d/firewall以确保开机 时能自动执行该脚本. (2)刷新所有的链的规则: 睾!/bin./sh echo“Startingiptablesrules” #Rekshallchains /sbin/iptabhs—F 先禁止转发任何包,再一步步设置允许通过的包.所以 首先设置防火墙FORWARD链的策略为DROP: /tbin/iptablea—PFORWARDDROP (3)设置关于服务器的包过虑规则.服务器/客户机交互 是双向的,所以要设置数据包出去和返回的规则,先建立针 对来自Imemct数据包的过虑规则. WWW服务:服务端口为80,采用tcp或udp协议.规 则为:ethO=>允许目的为内部网www服务器的包. /sbin/iptables—AFORWARD—Ptcp—d198.168.80.11一一 dpoftWww—iethO—jACCEPT trY服务:FrP需要两个端口,因为肿有命令通道 和数据通道.其中命令端口为21,数据端口为20,并且有主 动和消极两种服务模式,现在大多数兀P客户端均支持消极 模式,这种模式安全性更高.FTP服务采用tcp协议.规则为: ethO=>仅允许目的为内部网ftp服务器的包. /sbin/iptahles—AFORWARD—Ptep—d198.168.80.12一一 dport卸一iethO—jACCEPT @)EMAIL服务:包含smtp和pop3两个协议.这里只考 虑针对smtp的安全性问题.smtp端口为2l,采用tcp协议. eth0=>仅允许目的为email服务器的smtp请求. /sbin/iptables—AFORWARD—Ptcp—d198.168.80.13一一 dportsmq,一iethO-jACCEPT (4)设置针对Intranet客户的过虑规则.对于Intemet对 Intmne£客户的返回包,定义如下规则. /sbin/iptables—AFORWARD—Ptcp一80/0一一sport卸一da- ta—d198.168.80.0/24一iethO-jACCEPT /sbin/iptables—AFOI讯ARD—Ptop—d198.168.80.0/241 一syn—iethO—jACCEPT /sbin/iptables—AFOR疆7ARD—Pudp—d198.168.80.0./24一 i eihO—jACCEPT 说明:第一条允许Intranet客户采用消极模式访问Inter- net的FTP服务器;第二条接收来自Internet的非连接请求 tcp包;最后一条接收所有udp包,主要是针对oicq等使用 udp的服务. (5)接受来自整个Intranet的数据包过虑,定义如下规 则: /sbin/iptables—AFORWARD—s198.168.80.0/24一iethl—j ACCEPT 通过上述步骤,我们建立了一个相对完整的防火墙.只 对外开放了有限的几个端口,同时提供了客户对Intemet的 无缝访问. 4结束语 通过Linux下的netfiher/iptables技术,可以在普通Pc 机上配置出防火墙,无疑是一种简单快速而且经济高效的方 法.只要熟练掌握LimLx的netfilter/iptables及其相关的技术 完全可以配置出一功能强大的防火墙. 参考文献: [1](蔓)拉什著.Linux防火墙[M】.陈健译.人民邮电出版社,2009. [2】SteveSuehring。等著.Linux防火墙[M】.何泾沙等译.北京机械工业出版社。2006. [3]Documentationaboutthenetfilter/iptablespmject[EB/OL】hnp://wⅥ-w.netfilter.org/doeumentatiotffindex.html#documentation—howto (责任编辑:王前) 56 万方数据 基于Linux的netfilter/iptables防火墙的实现 作者: 王继魁 作者单位: 吉林师范大学,计算机学院,吉林,四平,136000 刊名: 通化师范学院学报 英文刊名: JOURNAL OF TONGHUA NORMAL UNIVERSITY 年,卷(期): 2010,31(2) 被引用次数: 0次 参考文献(3条) 1.拉什.陈健 Linux防火墙 2009 2.SteveSuehring.何泾沙 Linux防火墙 2006 3.Documentation about the netfilter/iptables project 相似文献(10条) 1.期刊论文 李毅 Linux中基于Netfilter/Iptables的防火墙研究 -科技信息2009(33) 随着Internet的普及,网络的安全显得尤为重要.Linux作为一种易于管理,维护的操作系统,在稳定性等方面都独具优势,其在网络安全领域也十分出 色.本文阐述了Netfilter的框架结构,以及Netfilter/Iptables的工作原理,提出了把Iptables与网络入侵检测(NIDS)有机的结合,来动态抗御SYN Flood攻击的方法.实验表明,该方法可以有效地抵御SYN Flood攻击. 2.学位论文 胡安磊 基于Linux和IPSec的VPN的实现、分析与改进 2004 本文的内容主要分为四部分.文章的第一部分主要介绍VPN的协议及其原理.首先介绍了VPN用到的最关键的技术——安全隧道技术.然后介绍了数据链 路层实现隧道技术的PPTP、L2TP协议和网络层实现隧道技术的IPSec协议.其中对IPSec协议进行了重点和详细的描述与分析,分析了现有的IPSec协议族的 AH、ESP、IKE三个主要的组成协议以及与它们相关的安全联盟数据库和安全策略数据库并且描述了它们之间的关系.文章的第二部分研究了IPSec在 Linux下的实现.首先对IPSec在Linux下的实现原理进行了分析研究,这其中涉及到Linux下的Netfilter/IPtables防火墙子系统,正是它与IPSec的交互使 得在Linux下实现IPSec成为现实.我们分析了Netfilter/IPtables的工作原理并且提出了它的一种应用,在此基础上研究和分析了IPSec与 Netfilter/IPtables的交互过程中数据包的处理流程.然后对具体的实现——FreeS/WAN进行了分析,与之前的原理性分析相呼应,使得IPSec在Linux下的 实现原理显得更为清晰.文章的第三部分对实现中的几个关键问题进行了研究并在理论上提出了一些改进的意见.我们主要研究的是NAT问题,文章详细分 析了IPSec和NAT的不兼容性,然后给出了解决的方案,并在所给出的解决方案的基础上提出了IKE仂商过程中解决NAT问题的理论上的方案.最后提出了一些 其它的可以继续研究的问题.文章的第四部分提出了几个基于前面研究分析的FreeS/WAN的VPN的实用方案并对各个方案进行了分析.本文分析和研究了 IPSec在Linux下的实现(FreeS/WAN)并针对其中的几个关键问题提出了改进的方案,给出了实用的VPN实施方案,并且由于Linux和FreeS/WAN均为源代码开 放软件,有了上述的研究和分析也使得以后的开发和改进工作变得容易. 3.期刊论文 胡安磊.周大水.李大兴 Linux中Netfilter/IPtables的应用研究 -计算机应用与软件2004,21(10) Netfilter是Linux2.4.x内核中实现数据包过滤、网络地址转换(NAT)以及数据包处理的通用功能框架.本文阐述了Netfilter的功能框架,并以如何用 IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换(NAT)为例介绍Netfilter/IPtables的应用. 4.学位论文 武杰 基于netfilter/iptables的状态检测防火墙的实现和改进 2007 随着互联网的发展,黑客的攻击也变的越来越多,防火墙随之也就扮演着越来越重要的角色。传统的防火墙主要以包过滤为主,对单个数据包进行 检测,这在一定的程度上抵御了一些攻击,但是它对一个非法的连接可能无能为力,于是一种基于状态连接检测的防火墙随之出现。而且由于Linux的开 源性,人们研究基于它上的防火墙变得很热。 本文首先介绍了Linux内核中自带的防火墙模块netfilter和用户空间工具iptables以及状态检测机制,并分析它们的原理和源代码,然后在此基础 上实现了一个基于状态检测的改进的防火墙。 本文使用iptables来配置防火墙所需要的规则,搭建了基本的框架,同时分析了抵御syn洪水攻击的传统方法——网关超时设置、syn网关、syn代理 和syncookies,提出了一个改进的方法,使syn/ack和ack数据包不再进行规则的匹配,而且能够在半连接队列满的情况下,仍然能够响应TCP的连接请求 ;分析了Land攻击和Smurf攻击的原理,给出了抵御这两种攻击的解决方案。最终经过测试,防火墙能够以较高的效率抵御外来的入侵。 5.期刊论文 潘贤.PAN Xian Linux内核中Netfilter/Iptables防火墙的技术分析 -计算机安全2008(8) Linux提供的基于内核netfiter框架的防火墙,具有通用性和可扩展性的特点,实现了一种性价比较高的安全方案,可以有效地阻止恶意攻击,成为很多 网络安全管理员的选择.该文首先介绍防火墙的主要技术,然后详细介绍了Lin ux内核防火墙netfilter/iptables的实现原理,说明如何应用Linux内核 netfi]ter和iptables实现包过滤型防火墙,保护内部网络的安全. 6.期刊论文 郑超.张建勋.Zheng Chao.Zhang Jianxun Linux防火墙Netfilter-iptables扩展机制及应用研究 -计 算机与数字工程2009,37(6) 分析了Linux2.4内核的Netfilter在IP协议栈的位置和结构,介绍了应用patch-o-matic结构扩展Netfilter-iptables目标(target)选项的机制和方法 .以实例说明如何通过自定义的target选项分析输出网络堆栈,实现在不同网络节点分析观察网络数据包. 7.学位论文 刘毅 MoIP网关中防火墙模块的设计与实现 2008 随着互联网技术的飞速发展,信息共享需求与实现的矛盾得以有效化解,但开放信息资源的安全日益成为一个不容忽视的技术和社会问题。防火墙 作为本地网络与外部网络之间的安全屏障,可以隔离风险网络与本地网络的连接,同时不会妨碍人们对外部网络的访问,是一种非常有效的网络安全模 型。Linux具有良好的网络性能和开放源码的特点,而且Linux 2.4和2.6 内核的防火墙子系统Netfilter/iptables简洁高效、可扩展性好,使越来越多 的开发者选择它作为防火墙的实现基础。利用Linux Netfilter/iptables 及其扩展技术来实现家庭网关的防火墙功能,具有良好的借鉴意义和实用价值 。 本文首先讨论了防火墙技术的发展,并深入分析了Linux 防火墙子系统Netfilter/iptables的实现机制。在此基础上,以家庭网关项目需求为背景 ,结合嵌入式Linux 技术,提出了防火墙模块的设计方案,并详细论述了实现过程。防火墙整体结构包括两部分:基本防火墙和扩展防火墙。基本防火 墙针对家庭网关的网络应用进行固定配置,扩展防火墙则加强了Netfilter/iptables的过滤功能,并利用Web技术,能够让用户定制防火墙规则,控制规 则作用时间,查看日志记录。最后设计了网络拓扑对防火墙功能进行测试,结果表明该防火墙模块的实现完全满足家庭网关需要。 这种防火墙的构建方式已经应用于小型家庭网关中,研究和实践表明,该方案具有良好的可移植性并且适用于家庭网关各种不同的应用场合。 8.学位论文 张光华 即时通信息监控系统的技术研究与设计 2005 基于点对点技术的即时通软件风靡全球,它在为人们带来诸多方便的同时,也为色情、反动言论洞开方便之门,危害国家和社会安全,在企业内部的广 泛应用也产生了诸如技术泄密、工作效率降低及网络使用成本增加等一系列问题.因此,深入分析即时通软件的模型与协议,从而设计适用于我国计算机网 络和信息安全所需要的即时通信息监控系统具有极为重要的意义.本文对实现即时通信息监控系统的关键技术进行了深入的研究,解决了实现监控的三个 主要问题:即时通软件文本协议格式的识别、网络数据包的截获和内核与用户空间的数据共享.在对监控关键技术研究的基础上,通过将相关技术的有机融 合,设计了应用于Linux网关的即时通信息监控系统,并基于Linux操作系统提供的防火墙管理工具Netfilter/iptables进行二次开发,实现了系统功能.同 时,在系统设计和实现过程中较好地解决了信息监控中数据处理的效率问题,提高了系统的整体性能.最后,在仿真的百兆网络环境中进行测试,并对下一步 的工作进行了展望. 9.期刊论文 杨刚.陈蜀宇.YANG Gang.CHEN Shu-yu Linux中基于Netfilter/Iptables的防火墙研究 -计算机工程与 设计2007,28(17) 在研究了Linux下Netfilter/Iptables防火墙的实现机制的基础之上,利用Iptables实现了一个具有包过虑网络地址转换等功能的防火墙系统,并进行 相关测试.测试结果表明,该防火墙系统可以对内网提供无缝的Internet访问,限制对外开放的端口,能有效防范外部攻击. 10.期刊论文 卢朝晖.傅光轩 基于Linux的Netfi1ter/Iptables技术及其应用 -海南师范学院学报(自然科学版) 2003,16(1) Netfilter/Iptalles是一个集成在Linux内核中的IP数据包过滤系统.文章主要介绍了该系统的两个基本组件及其基本工作原理,最后应用iptables工 具建立一个简单的包过滤防火墙. 本文链接:http://d.g.wanfangdata.com.cn/Periodical_thsfxyxb201002023.aspx 授权使用:河池学院(hcxyIP),授权号:2c459931-42e9-442a-9cdd-9e6b00fcd888 下载时间:2011年1月14日

编辑推荐

  • 名称/格式
  • 评分
  • 下载次数
  • 资料大小
  • 上传时间

用户评论

0/200
    暂无评论
上传我的资料

相关资料

资料评价:

/ 4
所需积分:2 立即下载
返回
顶部
举报
资料
关闭

温馨提示

感谢您对爱问共享资料的支持,精彩活动将尽快为您呈现,敬请期待!