包过滤防火墙与NAT.ppt

包过滤防火墙与NAT应用,1.什么是防火墙说穿了，其实防火墙就是在管制进入到我们网域内的主机的资料封包的一种机制，例如我们这一节要学习的iptables就是一种防火墙机制了。当然了，更广义的来说，只要能够分析与过滤进入我们管理之网域的封包资料，就可以称为防火墙，所以这个防火墙又可以分为硬件防火墙与本机的软件防火墙啊！,2.防火墙的主要类别除了以软件及硬件作为防火墙的分类之外，基本上，我们也可以使用防火墙对于封包的抵挡机制来进行分类。主要可以分为两大类，分别是代理服务器以及IPFilter。3.防火墙的一般线路布线与抵挡技巧防火墙除了可以保护防火墙机制(iptables)本身所在的那部主机之外，还可以保护防火墙后面的主机或PC。在简单的局域网络规划中，Firewall搭配Router(就是NAT主机的架构)也是相当常见的一种规划！这种规划对于内部私有网域的安全也有一定程度的保护作用。,4.目前常见的防火墙规划（1）单一Linux主机兼任防火墙功能我们的网域里面仅有一部Linux主机，该主机负责我们整个LAN里面所有个人计算机对外的联机，所以他也是我们LAN里面的Router。该防火墙一般会有两个接口，一个对内一个对外，同时，也可以直接在Linux防火墙上面架设网站，这是目前针对小型的企业所常见的网络配置状态。,这种配置的好处：安全维护在内部可以开放的权限较大！安全机制的设定可以针对Linux主机来维护即可！对外只看的到Linux主机，所以对于内部可以达到有效的安全防护！,（2）单一Linux防火墙，但LAN内另设防火墙一般来说，我们的防火墙对于LAN的防备都不会设定的很严格，因为是我们自己的LAN！所以是信任网域之一！不过，最常听到的入侵方法也是使用这样的一个信任漏洞！因为不能保证所有使用企业内部计算机的使用者都是公司的员工，也无法保证您的员工不会搞破坏！,（3）在防火墙后端的主机设定还有一种更有趣的设定，那就是将提供网络服务的主机放在防火墙后面，这有什么好处呢？,上面是目前比较常见的几种防火墙的配置方法。那么如何进行封包的抵挡设定呢？一个数据封包的内容，如图所示：由于防火墙可以分析网络上传送过来的数据封包，并取得分析该资料封包的表头数据，亦即可以分析上面图示中的目的地与来源地的IP,port,是否主动联机等等的其它信息！所以经由分析这些资料后，我们不难发现抵挡的方法可以有几个动作：（1）拒绝让封包进入主机的某些port（2）拒绝让某些来源IP的封包进入（3）拒绝让带有某些特殊旗标(flag)的封包进入（4）分析硬件地址(MAC)来提供服务,5.防火墙的使用限制防火墙虽然可以防止不受欢迎的封包进入我们的网络当中，不过，某些情况下，他并不能保证我们的网络一定就很安全。举几个例子来谈一谈：防火墙并不能很有效的抵挡病毒或木马程序；防火墙对于来自内部LAN的攻击较无承受力。所以啦，在我们的Linux主机实地上网之前，还是得先：关闭几个不安全的服务；升级几个可能有问题的套件；架设好最起码的安全防护：防火墙,6.Linux核心版本与防火墙机制Linux的封包过滤机制是慢慢演进形成目前的iptables的，在核心不为2.4的时代，使用的防火墙机制是不同的！Version2.0：使用ipfwadm这个防火墙机制；Version2.2：使用的是ipchains这个防火墙机制；Version2.4：主要是使用iptables这个防火墙机制，而为了兼容于ipchains，因此在Version2.4版本中，同时将ipchains编译成为模块，好让使用者仍然可以使用来自2.2版的ipchains的防火墙规划。iptables与ipchains两者不能同时执行！,7.iptables的表格与封包进入的流程只要是防火墙机制，通常都是以针对封包的分析规则来规范每种封包的通过与否，以及应该进行的动作，同样的道理，iptables的工作方向，必须要依规则的顺序来分析封包。,事实上，上图就是iptables的一张表格里面的一条链(chains)，可以想象一下，iptables的规则都是写在表格,table里面的，而每个表格又依据封包的行进路线，而可大略分为三条链：进入、输出、转递等。在iptables里面有两个经常用到的内建表格，分别是针对主机的filter以及针对防火墙后端的主机设定的nat两个，这两个表格又分别具有三条链，分别是：filter：主要跟Linux本机有关，这个是预设的table！INPUT：主要与封包想要进入我们Linux本机有关；OUTPUT：主要与我们Linux本机所要送出的封包有关；FORWARD：这个与Linux本机比较没有关系，他可以封包转递到后端的计算机中，与nat这个table相关性很高。nat：主要跟NAT主机的设定有关PREROUTING：在进行路由判断之前所要进行的规则POSTROUTING：在进行路由判断之后所要进行的规则OUTPUT：与发送出去的封包有关,8.iptables的语法iptables的语法相当的多，所以下面将这些语法分成规则清除、定义策略以及新增与插入规则三部分来说明：（1）清除规则与观察规则iptables-ttables-L-n参数说明：-t：后面接iptables的table，例如nat或filter，如果没有-ttable的话，那么预设就是-tfilter这个table！-L：列出目前的table的规则-n：不进行IP与HOSTNAME的转换，屏幕显示讯息的速度会快很多！范例：iptables-L-niptables-tnat-L-n,至于要清除规则，是这样的指令：Iptables-ttables-FXZ参数说明：-F：清除所有的已订定的规则-X：杀掉所有使用者建立的chain（应该说的是tables）-Z：将所有的chain的计数与流量统计都归零范例：roottestroot#iptables-Froottestroot#iptables-Xroottestroot#iptables-Zroottestroot#iptables-tnat-F,（2）定义策略策略指的是什么？当封包不在我们设定的规则之内时，则该封包的通过与否，以Policy的设定为准，通常这个策略在filter这个table的INPUT链方面可以定义的比较严格一点，而FORWARD与OUTPUT则可以订定的松一些！,iptables-ttables-PINPUT,OUTPUT,FORWARD|PREROUTING,OUTPUT,POSTROUTINGACCEPT,DROP参数说明：-P：定义策略，注意，这个P为大写！INPUT：封包为输入主机的方向；OUTPUT：封包为输出主机的方向；FORWARD：封包为不进入主机而向外再传输出去的方向；PREROUTING：在进入路由之前进行的工作；OUTPUT：封包为输出主机的方向；POSTROUTING：在进入路由之后进行的工作。iptables-PINPUTDROPiptables-POUTPUTACCEPTiptables-PFORWARDACCEPTiptables-tnat-PPREROUTINGACCEPTiptables-tnat-POUTPUTACCEPTiptables-tnat-PPOSTROUTINGACCEPT,（3）增加与插入规则设定iptables规则的基本语法如下：iptables增加与插入规则语法.doc9.一个简单的防火墙设定要实际设定防火墙之前，最好先用笔将您所需要的规则与开放的服务设计一下，然后再来设计！而比较严密的防火墙规划特点就是：拒绝所有，开放特定的设定方法较佳！也就是将Policy设定为DROP而将其它的服务一个一个的启动，这样会比较好。,10.Linux防火墙的3个超典型应用应用1：让区域网路内的电脑以一个真实IP来共享频宽（实作NAT）所需设备:一台Linuxserver,2张网卡网卡1:eth0,使用真实IP,网卡2:eth1,使用192.168.1.254设定:在/etc/rc.d/rc.local写入以下几行echo1/proc/sys/net/ipv4/ip_forwardmodprobeip_tablesmodprobeip_nat_ftpmodprobeip_conntrackmodprobeip_conntrack_ftpiptables-tnat-APOSTROUTING-oeth0-s192.168.1.0/24-jMASQUERADE,应用2：让区域网路内的电脑以一个ADSL来共享频宽（实作NAT）这个例子和上个例子很像,只是某一个设定要做修改所需设备:一台Linuxserver,2张网卡网卡1:eth0,使用真实IP,网卡2:eth1,使用192.168.1.254设定:在/etc/rc.d/rc.local写入以下几行echo1/proc/sys/net/ipv4/ip_forwardmodprobeip_tablesmodprobeip_nat_ftpmodprobeip_conntrackmodprobeip_conntrack_ftpiptables-tnat-APOSTROUTING-oppp0-s192.168.1.0/24-jMASQUERADE,应用3：让外界的电脑可以存取区域网路内的某部server（实作转址，转port）此种做法有保护内部server的效果所需设备:一台Linuxserver,2张网卡网卡1:eth0,使用真实IP,网卡2:eth1,使用192.168.1.254设定:在/etc/rc.d/rc.local写入以下几行echo1/proc/sys/net/ipv4/ip_forwardmodprobeip_tablesmodprobeip_nat_ftpmodprobeip_conntrackmodprobeip_conntrack_ftpiptables-tnat-APOSTROUTING-oeth0-s192.168.1.0/24-jMASQUERADEiptables-tnat-APREROUTING-ieth0-ptcp-d真实IP-dport80-jDNAT-to-destination192.168.1.13:80,11.一些iptables的具体应用ICMP相关应用使自己不能ping通127.0.0.1iptables-AINPUT-s127.0.0.1-picmp-jDROP192.168.0.0/24网段无法ping本机iptables-AINPUT-s192.168.0.0/24-picmp-jDROP禁所有机器#iptables-AINPUT-s0/0-picmp-jDROP#ICMP(PING)接受!echo-request/sbin/iptables-AINPUT-picmp-icmp-type!echo-request-jACCEPTaccept_redirects#echo0/proc/sys/net/ipv4/conf/all/accept_redirectsor#sysctlnet.ipv4.conf.all.accept_redirects=0“禁止IP访问自己rootlinuxroot#iptables-AINPUT-s192.168.0.253-jDROP,封杀MSN/sbin/iptables-IFORWARD-jDROP/sbin/iptables-IFORWARD-ptcp-dport1863-jDROP封杀QQ/sbin/iptables-AFORWARD-ptcp-dport80-jDROP/sbin/iptables-AFORWARD-ptcp-dport443-jDROP/sbin/iptables-AFORWARD-ptcp-jDROP/sbin/iptables-AFORWARD-ieth0-pudp-dport8000-jDROP封杀BT/sbin/iptables-AFORWARD-ieth0-ptcp-dport6881:6890-jDROP,#禁止WWW/sbin/iptables-AFORWARD-ptcp-dport80-jDROP#开放WWW/sbin/iptables-AFORWARD-ptcp-dport80-jACCEPT#禁止FTP/sbin/iptables-AFORWARD-ieth0-ptcp-dport20-jDROP/sbin/iptables-AFORWARD-ieth0-ptcp-dport21-jDROP#开放FTP/sbin/iptables-AFORWARD-ieth0-ptcp-dport20-jACCEPT/sbin/iptables-AFORWARD-ieth0-ptcp-dport21-jACCEPT,#禁止SMTP，POP3/sbin/iptables-AFORWARD-ieth0-ptcp-dport25-jDROP/sbin/iptables-AFORWARD-ieth0-ptcp-dport110-jDROP#开入SMTP，POP3/sbin/iptables-AFORWARD-ieth0-ptcp-dport25-jACCEPT/sbin/iptables-AFORWARD-ieth0-ptcp-dport110-jACCEPT,#禁止Sambarootlinuxroot#iptables-AFORWARD-ptcp-sport137:139-jDROProotlinuxroot#iptables-AFORWARD-pudp-sport137:139-jDROP#DROPOTHERS/sbin/iptables-AFORWARD-ieth0-mstate-stateESTABLISHED,RELATED-jACCEPT/sbin/iptables-AFORWARD-s192.168.1.0/24-jDROP,