Linux网络管理员实用教程 （第2版）第14章iptables防火墙Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.1 iptables简介netfilter/iptables（其中包括netfilter和iptables两个组件）组 成了Linux平台下的包过滤防火墙，它与大多数的Linux自 带软件一样，这个防火墙是免费提供的，它可以代替昂贵 的企业级防火墙来解决实际问题与实际方案，完成封包过 滤，封包重定向和网络地址转换等功能。iptables并不是最早出现的防火墙软件，它的前身是ipchains 。随着发展到Linux 2.4.X内核以后，ipchains逐渐被功能 更加强大的iptables所代替。iptables可以检查数据包的源 和目的IP地址，源和目的端口，流入数据包的顺序号， TCP先后顺序的信息以及包头标记(SYN、ACK、FIN、 RST等)的状态。iptables会跟踪整个会话过程，从而提高 安全性和包过滤的效率。 2Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.2 iptables工作原理数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传 送之前，将数据包转发给检查模块进行处理。其过程如下 。 1）首先与第一个过滤规则比较。 2）如果与第一个模块相同，则对它进行审核，判断是否要转 发该数据包，这时审核的结果是转发数据包，则将数据包 发送到TCP层进行处理，否则就将它丢弃。 3）如果与第一个过滤规则不同，则接着与第二个规则相比较 ，如果相同则对它进行审核，过程与上一步相同。 4）如果与第二个过滤规则不同，则继续与下一个过滤规则比 较，直到与所有的过滤规则比较完成。要是不满足所有过 滤规则，就将数据丢弃。3Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.2 iptables工作原理包检查器并不检查数据包的所有内容，它通常只检查下列几项：4Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.2 iptables工作原理iptables的工作原理如图 5Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.3 项目说明与项目要求1. 项目说明 防火墙在一个安全的网络组成当中是不可以缺少的，但是考虑到成本、 对协议的支持等因素，通常采用iptables作为防火墙。主要意图是让它 强制执行安全策略，使得网络周围能够创建一个安全的边界。 2. 项目要求 配置一台运行Linux的服务器，其地址是192.168.0.5，子网掩码是 255.255.255.0，默认网关是192.168.0.1。客户机用Windows进行测 试，如图14.2所示。 要求源地址是192.168.0.0/24的客户机都禁止访问这台Linux服务器的 Web服务。 6Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.4 配置步骤说明 1）网络参数设置。 2）查看是否安装了iptables。 3）启动Apache服务（其默认端口是80）。 4）编写脚本。 5）启动iptables服务并运行脚本。配置流程如图所示： 7Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.5 配置过程步骤1：设置服务器的IP地址为192.168.0.5，并关闭防火墙（参照第7章 相关内容）。 步骤2：查看是否安装iptables。 打开终端，在终端输入命令： rootlocalhost root#rpm -q iptables 出现如图14.4所示的iptables版本信息，说明已安装了iptables服务器。 8Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.5 配置过程步骤3：启动Apache服务。 1）在终端输入命令“service httpd start”，启动Apache服务器。 rootlocalhost root# service httpd start 2）用Windows 2000客户机测试，具体步骤如下。 Windows 2000客户机的IP地址为192.168.0.48，子网掩码为 255.255.255.0。 在Windows 2000中打开IE，在地址栏中输入http:/ 192.168.0.5:80，如 图14.5示。如出现图中的内容，则说明80端口已打开。 9Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.5 配置过程步骤4：编写脚本。打开终端，在终端输入“vi /etc/rc.d/rc.local”。 rootlocalhost root#vi /etc/rc.d/rc.local #!/bin/sh touch /var/lock/subsys/local iptables F #清除预设表 filter 中，所有规则链中的规则 iptables X # 清除预设表 filter 中，使用者自订链中的规则 iptables A INPUT p tcp -s 192.168.0.0/24 -dport 80 j DROP #禁止IP地址为192.168.0.0/24这个网段的主机连接Linux的80端口步骤5：启动iptables服务及运行脚本。在终端输入命令service iptables start，启动iptables, 然后在终端输入命令.“/etc/rc.d/rc.local”，运行脚 本中写的规则。 rootlocalhost root# service iptables start rootlocalhost root# ./etc/rc.d/rc.local 10Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.6 测试用同一台客户机再次测试，打开IE，在地址栏中输入http:/ 192.168.0.5:80，如图14.6所示。图中出现“该页无法显示”信息，说明已禁止192.168.0.0/24网段的客户机 访问Linux的80端口。11Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.7 命令与参数1-A 例子：iptables -A INPUT 解释：在所选择的链末添加规则。当源地址或目的地址是以名字而不是ip 地址的形式出现时，若这些名字可以被解析为多个地址，则这条规则 会和所有可用的地址结合。2-p 例子：iptables -p tcp 解释：数据包分为tcp的进行判断（包一般分为tcp、udp及icmp封装）。3-s 例子：iptables -s 192.168.1.1 解释：与所有来自192.168.1.1这一IP地址的信息包进行匹配。12Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.7 命令与参数4A CCEPT 例子：iptables -j ACCEPT 解释：当信息包与具有ACCEPT目标的规则完全匹配时候，会被接受。5DROP 例子：iptables -j DROP 解释：当信息包与具有ACCEPT目标的规则完全匹配时候，会被拒绝。6-dport 例子：iptables -dport 80 解释：与所有来自的信息包进行80端口匹配。 13Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙14.8 思考1要求 在14.3项目的基础上，再增加部分要求。 只允许192.168.0.58的IP地址访问服务器的80端口。2提示 只要在./etc/rc.d/rc.local文件中修改： iptables A INPUT p tcp -s 192.168.0.58 -dport 80 j ACCEPT14Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙思考与实验1接受192.168.0.0/24这个网段的所有ip访问，禁止其他未 允许的IP访问Linux的80端口。2禁止所有IP访问Linux 80端口。3记录下来访问Linux 80端口的日志。15Linux网络管理员实用教程 （第2版）第第1414章章 iptablesiptables防火墙防火墙谢谢！谢谢！16