深化浅出Netfilter/iptables防火墙框架(底子篇)[Linux安全]
本文“深化浅出Netfilter/iptables防火墙框架(底子篇)[Linux安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
Linux系统管理员们都接触过Netfilter/iptables,这是Linux系统自带的免费防火墙,功效非常强盛.在接下来的这个《深化浅出Netfilter/iptables防火墙框架》系列中,51CTO安全/Linux专家李洋将对Netfilter/iptables举行细致的、层次的介绍.本文是底子篇,先介绍Netfilter/iptables框架的原理.
1、Netfilter/iptables框架简介
Netfilter/iptables可以对流入和流出的信息举行细化掌握,且可以在一台低配置机械上很好地运行,被认为是Linux中实现包过滤功效的第四代利用程序.Netfilter/iptables包含在Linux 2.4今后的内核中,可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功效.netfilter工作在内核内部,而iptables则是让用户定义法则集的表构造.Netfilter/iptables从ipchains和ipwadfm(IP防火墙管理)演变而来,功效愈加强盛.
这里所说的iptables是ipchains的后继工具,但具有更强的可扩大性.内核模块可以注册一个新的法则表(table),并要求数据包流经指定的法则表.这种数据包挑选用于实现数据报过滤(filter表),网络地址转换(NAT表)及数据报处理(mangle表).Linux 2.4内核及其以上版本供应的这三种数据报处理功效都基于netfilter的钩子函数和IP表,都是彼此间独立的模块,完善地集成到了由netfilter供应的框架中,如图1所示.netfilter主要供应了以下三项功效:
- 包过滤:filter表格不会对数据报举行改正,而只对数据报举行过滤.iptables优于ipchains的一个方面就是它更为玲珑和快速.它是通过钩子函数NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的.
- NAT:NAT表格监听三个netfilter钩子函数:NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT.NF_IP_PRE_ROUTING实现对需求转发数据报的源地址举行地址转换,而NF_IP_POST_ROUTING则对需求转发的数据报目的地址举行地址转换.关于本地数据报目的地址的转换,则由NF_IP_LOCAL_OUT来实现.
- 数据报处理:mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中举行注册.利用mangle表,可以实现对数据报的改正或给数据报附上一些外带数据.当前mangle表支持改正TOS位及设置skb的nfmard字段.
图1 Netfilter/Iptables框架构造表示图
按照实际情形,机动应用Netfilter/iptables框架,生成呼应的防火墙法则可以便利、高效地阻断部份网络攻击以及不法数据报(拜见图2所示的工作原理).但是,由于配置了防火墙,大概惹起诸如FTP、QQ、MSN等协议和软件无法利用大概某些功效无法正常利用,也有大概惹起RPC(远程历程调用)无法履行,这需求用户按照实际情形来配置呼应的服务代理程序来开启这些服务.需求分外提醒注意的是,防火墙也大概被内部攻击,其并非万能的,还需求综合利用其他防护手段.内部人员由于无法通过Telnet浏览邮件或利用FTP向外发送信息,个体人会对防火墙不满进而大概对其举行攻击和破坏.并且,攻击的目标常常是防火墙或防火墙运行的操作系统,这极大地危害了防火墙系统乃至是关键信息系统的安全.
图2 Netfilter/Iptables框架工作原理表示
以上是“深化浅出Netfilter/iptables防火墙框架(底子篇)[Linux安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |