防火墻、入侵偵測整合系統(tǒng)_第1頁
已閱讀1頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、iptables,指導(dǎo)老師:溫翔安組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086,iptables,iptables 是利用封包過濾的機制, 所以他會分析封包的表頭資料。根據(jù)表頭資料與定義的『規(guī)則』來決定該封包是否可以進入主機或者是被丟棄。 意思就是說:『根據(jù)封包的分析資料 "比對&quo

2、t; 你預(yù)先定義的規(guī)則, 若封包資料與規(guī)則內(nèi)容相同則進行動作,否則就繼續(xù)下一條規(guī)則的比對!』,,當(dāng)一個網(wǎng)路封包要進入到主機之前,會先經(jīng)由 NetFilter 進行檢查,那就是 iptables 的規(guī)則了。 圖中主要的目的在告知你:『規(guī)則是有順序的』!例如當(dāng)網(wǎng)路封包進入 Rule 1 的比對時, 如果比對結(jié)果符合 Rule 1 ,此時這個網(wǎng)路封包就會進行 Action 1 的動作,而不會理會後續(xù)的 Rule 2, Rule 3.... 等

3、規(guī)則的分析了。,,,,而如果這個封包並不符合 Rule 1 的比對,那就會進入 Rule 2 的比對了!如此一個一個規(guī)則去進行比對就是了。 那如果所有的規(guī)則都不符合怎辦?此時就會透過預(yù)設(shè)動作 (封包政策, Policy) 來決定這個封包的去向。 所以啦,當(dāng)你的規(guī)則順序排列錯誤時,就會產(chǎn)生很嚴重的錯誤了。,,假設(shè)你的 Linux 主機提供了 WWW 的服務(wù),那麼自然就要針對 port 80 來啟用通過的封包規(guī)則,但是你發(fā)現(xiàn) IP 來源為

4、192.168.100.100 老是惡意的嘗試入侵你的系統(tǒng),所以你想要將該 IP 拒絕往來,最後,所有的非 WWW 的封包都給他丟棄,就這三個規(guī)則來說,你要如何設(shè)定防火牆檢驗順序呢?Rule 1 先抵擋 192.168.100.100 ;Rule 2 再讓要求 WWW 服務(wù)的封包通過;Rule 3 將所有的封包丟棄。,,這樣的排列順序就能符合你的需求,不過,萬一你的順序排錯了,變成:Rule 1 先讓要求 WWW 服務(wù)的封包通過

5、;Rule 2 再抵擋 192.168.100.100 ;Rule 3 將所有的封包丟棄。此時,那個 192.168.100.100 『可以使用你的 WWW 服務(wù)』喔!只要他對你的主機送出 WWW 要求封包,就可以使用你的 WWW 功能了,因為你的規(guī)則順序定義第一條就會讓他通過,而不去考慮第二條規(guī)則!,,Linux 的 iptables 至少就有三個表格,包括管理本機進出的 filter 、管理後端主機的 nat 、管理特殊旗標使

6、用的 mangle 。filter (過濾器):主要跟進入 Linux 本機的封包有關(guān),這個是預(yù)設(shè)的 table 喔! nat (位址轉(zhuǎn)換):是 Network Address Translation 的縮寫, 這個表格主要在進行來源與目的之 IP 或 port 的轉(zhuǎn)換,與 Linux 本機較無關(guān),主要與 Linux 主機後的區(qū)域網(wǎng)路內(nèi)電腦較有相關(guān)。 mangle (破壞者):這個表格主要是與特殊的封包的路由旗標有關(guān)。[較少用到]

7、,,封包進入 Linux 主機使用資源 (路徑 A): 在路由判斷後確定是向 Linux 主機要求資料的封包,主要就會透過 filter 的 INPUT 鏈來進行控管;封包經(jīng)由 Linux 主機的轉(zhuǎn)遞,沒有使用主機資源,而是向後端主機流動 (路徑 B): 在路由判斷之前進行封包表頭的修訂作業(yè)後,發(fā)現(xiàn)到封包主要是要透過防火牆而去後端,此時封包就會透過路徑 B 來跑動。 也就是說,該封包的目標並非我們的 Linux 本機。主要經(jīng)過的鏈是

8、filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。 封包由 Linux 本機發(fā)送出去 (路徑 C): 例如回應(yīng)用戶端的要求,或者是 Linux 本機主動送出的封包,都是透過路徑 C 來跑的。先是透過路由判斷, 決定了輸出的路徑後,再透過 filter 的 OUTPUT 鏈來傳送的!當(dāng)然,最終還是會經(jīng)過 nat 的 POSTROUTING 鏈。,,,iptables 語法,[root@w

9、ww ~]# iptables [-t tables] [-L] [-nv] 選項與參數(shù): -t :後面接 table ,例如 nat 或 filter ,若省略此項目,則使用預(yù)設(shè)的 filter -L :列出目前的 table 的規(guī)則 -n :不進行 IP 與 HOSTNAME 的反查,顯示訊息的速度會快很多! -v :列出更多的資訊,包括通過該規(guī)則的封包總位元數(shù)、相關(guān)的網(wǎng)路介面等,,,iptables 規(guī)則順序,,,無論任何

10、來源 (0.0.0.0/0) 且要去任何目標的封包,不論任何封包格式 (prot 為 all),通通都接受只要是 icmp 類型為 255 號的,就予以放行只要是封包格式為 esp 的,就予以放行 (特殊功能)只要是封包格式為 ah 的,就予以放行 (特殊功能)只要是要傳送給目標為 224.0.0.251 且為 udp 埠口 5353 的,就予以接受只要是傳給 port 631 的 udp 封包就接受只要是傳給 port 6

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論