网络服务器搭建(项目9 防火墙)

条 iptables 件 9.1.3 工作原理
说
明
tables），每个表由若干“链”（chains）组成，而每条链可以由一条或数 条“规则”（rules）组成。实际上，netfilter是表的容器，表是链的容器， 封包内存放于Transport层的Port信息设定比对的条件，可用来比对的Pott信 Port 而链又是规则的容器。 息包含：来源Port（Source Port）、目的Port（Destination Port）
项目9 配置与管理防火墙
项目描述：某高校组建了校园网，并且已经架设了Web、FTP、DNS、DHCP、Mail
等功能的服务器来为校园网用户提供服务，现有如下问题需要解决。 （1）需要架设防火墙以实现校园网的安全。 （2）需要将子网连接在一起构成整个校园网。 （3）由于校园网使用的是私有地址，需要进行网络地址转换，使校园网中的用户能够 访问互联网。 该项目实际上是由Linux的防火墙与代理服务器：iptables和squid来完成的，通 过该角色部署iptables、NAT、squid，能够实现上述功能。 项目目标 ：●了解防火墙的分类及工作原理 ●了解NAT ●掌握iptables防火墙的配置 ●掌握利用iptables实现NAT
1．iptables名词解释
Interface 接口，指的是封包接收，或者输出的网络适配器名称 （1）规则（ rules）。设置过滤数据包的具体条件，如IP地址、端口、协
议以及网络接口等信息，iptables如表
Fragment
不同Network Interface的网络系统，会有不同的封包长度的限制。如封包跨 越至不同的网络系统时，可能会将封包进行裁切（Fragment）。可以针对裁 切后的封包信息进行监控与过滤 可针对封包的计数单位进行条件比对
9.1.3 iptables工作原理
② nat。当数据包建立新的连接时，该nat表能够修改数据包， 并完成网络地址转换。它包含以下3个内置链。 ●PREROUTING：修改到达的数据包。 ●OUTPUT：路由之前，修改本地产生数据包。 ●POSTROUTING：数据包发送前，修改该包。 nat表仅用于网络地址转换，也就是转换包的源或目标地址，其具 体的动作有DNAT、SNAT以及MASQUERADE，下面的内容将会详 细介绍。
项目9 配置与管理防火墙
9.5 项目实录 9.6 练习题
9.1 相关知识
9.2 项目设计与准备
9.3 项目实施 9.4 企业实战与应用
9.7 超级链接
9.1 相关知识
9.1.1 wenku.baidu.com火墙概述
1．什么是防火墙
防火墙通常具备以下几个特点。 （1）位置权威性。 （2）检测合法性。 （3）性能稳定性。
9.1.1 防火墙概述
9.1.3 iptables工作原理
netfilter的5 条链相互地 关联，如图
iptables数据包转发流程图
9.1.3 iptables工作原理
（4）表（table）。接受数据包时，Netfilter会提供以下3种数据包处理的功能。 ●过滤。 ●地址转换。 ●变更。 Netfilter根据数据包的处理需要，将链（chain）进行组合，设计了3个表 （table）：filter、nat以及mangle。 ① filter。这是netfilter默认的表，通常使用该表进行过滤的设置，它包含以下 内置链。 ●INPUT：应用于发往本机的数据包。 ●FORWARD：应用于路由经过本地的数据包。 ●OUTPUT：本地产生的数据包。 filter表过滤功能强大，几乎能够设定所有的动作（target）。
Protocol 通信协议，指的是某一种特殊种类的通信协议。Netfilter可以比对TCP、UDP 或者ICMP等协议
针对封包内的地址信息进行比对。可对来源地址（Source Address）、目的 Address是Linux核心中的一个通用架构，它提供了一系列的“表”（ netfilter 地址（Destination Address）与网络卡地址（MAC Address）进行比对
9.1.3 iptables工作原理
③ mangle。该表用在数据包的特殊变更操作，如修改TOS等特性。 Linux 2.4.17内核以前，它包含两个内置链：PREROUTING和 OUTPUT，内核2.4.18发布后，mangle表对其他3个链提供了支持。 ●PREROUTING：路由之前，修改接受的数据包。 ●INPUT：应用于发送给本机的数据包。 ●FORWARD：修改经过本机路由的数据包。 ●OUTPUT：路由之前，修改本地产生的数据包。 ●POSTROUTING：数据包发送出去之前，修改该包。
（1）包过滤防火墙。
2．防火墙的种类
（2）代理防火墙。
（3）状态检测技术。
9.1.2 iptables简介
早期的Linux系统采用过ipfwadm作为防火墙，但在2.2.0核心中 被ipchains所取代。 Linux 2.4版本发布后，netfilter/iptables信息包过滤系统正式使用。 Netfilter/iptables IP数据包过滤系统实际由netfilter和iptables两 个组件构成。Netfilter是集成在内核中的一部分，它的作用是定义、 保存相应的规则。而iptables是一种工具，用以修改信息的过滤规则 及其他配置。用户可以通过iptables来设置适合当前环境的规则，而 这些规则会保存在内核空间中。 对于Linux服务器而言，采用netfilter/iptables数据包过滤系统， 能够节约软件成本，并可以提供强大的数据包过滤控制功能， iptables是理想的防火墙解决方案。
Counter
9.1.3 iptables工作原理
（2）动作（target）。当数据包经过Linux时，若netfilter检测该包符合 相应规则，则会对该数据包进行相应的处理，iptables动作如表
9.1.3 iptables工作原理
（3）链（chain）。数据包传递过程中，不同的情况下所要遵循的规则组合 形成了链。规则链可以分为以下两种。 ●内置链（Build-in Chains）。 ●用户自定义链（User-Defined Chains）。 netfilter常用的为内置链，其一共有5个链，如表