返回
基于linux的netfilteriptables防火墙实现

基于linux的netfilteriptables防火墙实现

ID:33811615

大小:264.19 KB

页数:4页

时间:2019-02-28

基于linux的netfilteriptables防火墙实现_第1页
基于linux的netfilteriptables防火墙实现_第2页
基于linux的netfilteriptables防火墙实现_第3页
基于linux的netfilteriptables防火墙实现_第4页
资源描述:

《基于linux的netfilteriptables防火墙实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据第3l卷第2期通化师范学院学报V01.3l№22010年2月JOURNALOFTONGHUATEACHERSCOLLEGEFeb.2010基于Linux的netfiher/iptables防火墙的实现王继魁(吉林师范大学tl-舅t机学院。吉林四平136000)摘要:目前,防火墙作为一种有效的网络安全机制被广泛的应用,Linux平台以其稳定、健壮及廉价的特性取得广泛的应用,Hnux防火墙技术也逐渐被认可.文中分析了Linux下netfilter/iptables的结构框架及其使用方法,并给出了一个防火墙实例

2、.关键词:linux;nedilter/iptables;防火墙中图分类号:TP309文献标志码:A文章编号:1008-7974(2010)02—0055—02收稿日期:2009一ll一26作者简介:王继魁(1981一),男,吉林四平市,吉林师范大学计算机学院教师.防火墙是能够在不同的网络之间,明显区隔出实体线路联机的软件和硬件设备组合.被区隔开来的网络,能够透过封包转送技术来相互通讯,透过防火墙的安全管理机制,能够决定数据流通问题,以达到网络安全保护的目的.防火墙可概略归类为硬件式防火墙和软件式防火墙,但实际上

3、无论是硬件式或软件式防火墙,他们都需要使用硬件作为联机介质和使用软件来设定安全策略.硬件式防火墙是使用专有的硬件和操作系统,而软件式防火墙则可使用一般的电脑硬件和通用的操作系统.硬件式防火墙费用昂贵,中小型用户难以支付.而Linux提供了一个非常优秀的防火墙工具netfilter/iptables.它完全免费、功能强大、使用灵活、可以对流人和流出的信息进行细化控制,且可以在廉价PC机上很好地运行.本文将对使用nemlter/iptabl船实现防火墙的架设进行阐述.1netfiher/iptables结构框架1.1

4、netfdter/iptables简介netfiher/iptables被认为是Linux中实现包过滤功能的第四代应用程序.netfiher/iptables包含在Linux2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能.netfalter工作在内核内部,而iptables则是让用户定义规则集的表结构.netfilter/iptables从ipchaim和ipwadfm(P防火墙管理)演化而来,功能更加强大.1.2netfilter/iptables包处理内核模块可以注册一个新的

5、规则表(table),并要求数据报流经指定的规则表.这种数据报选择用于实现数据报过滤(filter表),网络地址转换(NAT表)及数据报处理(marIgle表).LinLLX2.4内核提供的这三种数据报处理功能都基于netllher的钩子函数和IP表.它们是独立的模块,相互之间是独立的.它们都完美的集成到由Netfileter提供的框架中.(I)包过滤.filter表格不会对数据报进行修改,而只对数据报进行过滤.iptables优于ipehmm的一个方面就是它更为小巧和快速.它是通过钩子函数NF_.IPLOCAL

6、_IN,NF_IPJ'oRWARD及NF_IP—LOCAL—OUT接入netfiher框架的,如图1.因此对于任伺—个数据报只有一个地方对其进行过滤.(2)NAT.NAT表格监听三个Netfiher钩子函数:NF_IP_PRE~ROUTING、NF—IP—POST—ROUTING及NF—IP—LOCAL—OUT,如图1.NFjePRE—ROUTING实现对需要转发的数据报的源地址进行地址转换,而NF—IP—POST—ROUTING则对需要转发的数据包的目的地址进行地址转换.对于本地数据报的目的地址的转换则由NF—

7、IP—LOCAL—OUT来实现.NAT表格不同于filter表格,因为只有新连接的第一个数据报将遍历表格,而随后的数据报将根据第一个数据报的结果进行同样的转换处理.NAT表格被用在源NAT、目的NAT、伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例).(3)数据报处理(Packetmangling).mangle表格在NF—nPRE—ROUTING和NF-nLOCAL—OUT钩子中进行注册。如图1.使用mangle表,可以实现对数据报的修改或给数据报些带外数据.当前m蛐gle表支持修改TOS位

8、及设置skb的nfmard字段.图1netfilter框架结构图2iptables用法Iptables基本语法:iptables[一ttable]command[match][target].(1)表(table).[一ttable]选项允许使用标准表之外的任何表.表是包含仅处理特定类型附上一信息包的规则和链的信息包过滤表.有三个可用的表选项:filter、nat和m趿g

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。