Linux网络安全防护
从Linux Kernel 2.4开始,新的网络包过滤框架Netfilter/Iptables替代了原来的Ipchains/Ipfwadm系统,成为Linux系统新一代的内核级防火墙。作为内核网络协议的一个扩展集,Netfilter可以在内核内部高效地进行包过滤、网络地址转换(NAT)和包重组。对于网络安全防护来讲,主要用到的是Netfilter的包过滤功能,本节也将就这一主题展开描述。
1. Linux内核防火墙的包过滤机制
通过包过滤机制,Netfilter可以按要求禁止网络包对本地服务器的访问及本地对外的访问,或者对经过本地转发的信息包进行过滤以保护系统,防止未经允许的网络访问本地服务。图15-2展示了Netfilter的包过滤机制。
 |
| 图15-2 Netfilter的包过滤机制 |
可以看出,Netfilter/Iptables防火墙的包过滤机制中实现了对以下3类访问方式的过滤,在Netfilter/Iptables中称它们为过滤链(chain)。
INPUT链:用于过滤来自外部系统、目的地为本机的信息包。例如,服务器中通过Apache Httpd来实现Web网站服务器,当外部系统尝试访问本地Httpd所在的端口80时,会触发INPUT链中的规则。
OUTPUT链:用于过滤从系统内部发出的对外访问的信息包。例如,本地用户对外发送电子邮件时,要求通过SMTP协议,也就是端口25来向外部邮件服务器发送信息,此时就会触发OUTPUT链中的规则。
FORWARD链:用于过滤要求进行转发的信息包,只有当/proc/sys/net/ipv4/ip_forward为"1"时才有效,也就是只对路由功能生效。例如,禁止某个IP通过本机路由访问到其他网段。
由于Netfilter/Iptables中的所有操作都通过iptables这一命令来实现的,因此业界当前也普遍使用Iptables作为Netfilter的代名词,代表Linux中的防火墙机制。
2 Iptables端口过滤实例(1)
1. 清空控制规则
操作实例:
方法1
- [root@server1 ~]# iptables -t filter -F
- [root@server1 ~]# iptables -t nat -F
- [root@server1 ~]# iptables -t mangle -F
方法2
- [root@server1 ~]# /etc/init.d/iptables stop
操作分解(方法1):
-t filter:对过滤表进行操作,用于常规的网络地址及端口过滤。
-t nat:对网络地址转换表进行操作,用于网络连接共享、端口映射等操作。
-t mangle:对mangel表进行操作,用于改变包的TOS等特性的操作。
-F:清空列表中的所有规则。
全句解释(方法1):
通过Iptables命令清空filter、nat及mangle表中的规则,也就是清空Iptables中的所有规则。
全句解释(方法2):
在Red Hat Enterprise Linux中可以通过对Iptables服务进行stop操作来达到清空Iptables规则的效果,但是这并不会真正地清除规则,当Iptables应用启动的时候仍然会读取/etc/sysconfig/iptables文件,重新载入已记录的规则。
2. 基于访问源的控制
操作实例:
- [root@server1 ~]# iptables -t filter -A INPUT -s 192.168.101.202 -j DROP
操作分解:
-t filter:使用过滤(表)功能对网络行为进行控制处理。
-A INPUT:表示对INPUT链进行规则追加操作。
-s 192.168.101.202:表示针对访问来源IP地址为192.168.101.202的信息包进行处理。
-j DROP:丢弃(不向访问来源返回任何信息)符合规则的信息包。
全句解释:
使用Iptables在过滤列表的INPUT链中追加规则,一旦发现从外部要求访问本机网络服务且源IP地址为192.168.101.202的信息包,就马上将其丢弃。
3. 基于访问目标的控制
操作示例:
- [root@server1 ~]# iptables -A OUTPUT -d
192.168.101.250 -p tcp --dport 80 -j REJECT
操作分解:
-t filter:此处没有使用-t filter,但同样会对filter进行操作,因为filter是Iptables默认操作的链表。
-A OUTPUT:表示对OUTPUT链进行规则追加操作。
-d 192.168.101.250:表示针对访问目标为192.168.101.250的信息包进行处理。
-p tcp -dport 80:表示针对访问目标协议为TCP,且端口为80的信息包进行处理。
-j REJECT:拒绝(向访问源发送拒绝请求信息)符合规则的信息包。
全句解释:
使用Iptables在过滤列表的OUTPUT链中追加规则,一旦发现从本地要求访问外部网络服务且访问协议为TCP目标IP为192.168.101.250、端口为80的信息包,就马上将其拒绝。
4. 同时过滤多个端口
操作实例:
- [root@server1 ~]# iptables -A INPUT -i eth0
-p udp --dport 137:139 -j REJECT- [root@server1 ~]# iptables -I INPUT 2 -i eth1
-p udp -m multiport --dports 80,443 -j APPECT
操作分解:
-i eth0:表示针对从eth0网卡进入的信息包进行操作。
-p udp --dport 137:139:表示针对访问目标协议为UDP且端口为137-139的信息包进行处理。
-I INPUT 2:在INPUT链的第2行进行规则插入操作。
-p tcp -m multiport --dports 80,443:表示针对访问目标协议为TCP且端口为80或443的信息包进行处理。
-j APPECT:允许符合规则的信息包通过。
全句解释:
第1句:使用Iptables在过滤列表的INPUT链中追加规则,一旦发现通过eth0网卡接口从外部要求访问本机网络服务且访问协议为UDP、目标访问端口为137-139的信息包,就马上将其拒绝。
第2句:使用Iptables在过滤列表的INPUT链的第2行插入规则,一旦发现通过eth
1622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
