AD

Linux防火墙之介绍

Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(****netfilter**/)。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。Netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化控制。

事实上,每个主要的Linux版本中都有不同的防火墙软件套件,iptables(Netfilter)应用程序被认为是Linux中实现包过滤功能的第4代应用程序。

Netfilter/iptables系统如何工作

Netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加,编辑和除去规则。这些规则是在决定信息包过滤时防火墙所遵循和组成的,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在所谓的链(chain)中。虽然Netfilter/iptables IP信息包过滤系统称为“单个实体”,但它实际上由两个组件即Netfilter和iptables组成。Netfilter组件也称为“内核空间(kernel space)”,是内核的一部分。它由一些信息包过滤表组成,这些表包含了内核用来控制信息包过滤处理的规则集。iptables组件是一种工具,也称为“用户空间(User space)”,它使插入,修改和除去信息包过滤表中的规则变得容易。通过使用用户空间可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。这些规则具有目标,它们告诉内核来自某些源,前往某些目的地或如何处理具有某些协议类型的信息包。如果某个信息包与规则匹配,那么使用目标ACCEPT允许该信息包通过,还可以使用目标DROP或REJECT来阻塞并杀死信息包。对于信息包执行的其他操作,还有许多其他目标。

根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被添加到INPUT链中;处理出站信息包的规则被添加到OUTPUT链中;处理正在转发的信息包的规则被添加到FORWARD链中,这3个链是基本信息包过滤表中内置的默认主链。另外,还有其他许多可用的链的类型 (如PREROUTING和POSTROUTING),以及用户定义链。每个链都可以有一个策略,它定义“默认目标”,即要执行的默认操作,当信息包与链中的任何规则都不匹配时执行此操作。

建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了,这时内核空间从用户空间接管工作。当信息包到达防火墙时,内核先检查信息包的头信息,尤其是信息包的目的地,这个过程称为“路由”。

如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将其传递到内核空间信息包过滤表的INPUT链(过滤所有目标地址是本机的数据包----对进入本机数据包的过滤)。如果信息包源自系统内部或系统所连接的内部网上的其他源,并且此信息包要前往另一个外部系统,那么信息包被传递到OUTPUT链(过滤所有本机产生的数据包----对源地址的数据包的过滤)。类似的,源自外部系统并前往内部系统的信息包被传递到FORWARD链(过滤所有路过本机的数据包----源地址和目标地址都不是本机的数据包)。

接下来,将信息包的头信息与其所传递到的链中的每条规则进行比较,看它是否与某条规则完全匹配。如果信息包与某条规则匹配,那么内核就对该信息包执行由该规则的目标指定的操作; 如果信息包与这条规则不匹配,那么它将与链中的下一条规则进行比较。如果信息包与链中的任何规则都不匹配,那么内核将参考该链的策略来决定如何处理该信息包。理想的策略是应该告诉内核丢弃(DROP)该信息包。

标签:
时间: 2015-05-12

相关文章

  1. Linux防火墙 Firestarter

    Firestarter 网站 : http://www.fs-security.com/ Firestarter是一个非常好用的防火墙图形化配置工具,作者和开发者是芬兰人. 首先肯定的说Firestarter防火墙是一款 ...
  2. Linux知识总结复习2:Linux防火墙的基本概念和使用方法(未完待续)

    要理解Linux防火墙,先记住下面两张图(未完待续): 图1 Netfilter packet flow 图2 详细处理
  3. Linux 异步IO介绍

    Linux 异步IO介绍 epoll epoll是Linux对select功能的改进,其性能大大提升,而且和监控的IO个数无关. API: epoll_create: ***`int epoll_create(int s ...
  4. Linux防火墙之FirewallD简介

    FirewallD提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具.它支持IPv4,IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙 ...
  5. LVS(Linux Virtual Server)Linux 虚拟服务器介绍及配置(负载均衡系统)

    LVS(Linux Virtual Server) 是Unix-like系统中的一个虚拟服务器,是国内贡献给开源组织的一个最优秀的项目之一 一,简介 LVS(Linux Virtual Server) 是Unix-lik ...
  6. linux openssl基础介绍

    随着计算机网络技术的发展,方便快捷的互连网使人们渐渐习惯了从Web页上收发E-mail.购物和交易,这时Web页面上需要传输重要或敏感的数据,例如用户的银行帐户.密码等,所以网络安全就成为现代计算机网络应用急需解决的问题 ...
  7. Linux命令vmstat介绍

    vmstat介绍 通过STATSPACK收集服务器信息,主要通过收集VMSTAT的信息来展现服务器状况.VMSTAT工具是最常见的Unix监控工具,可以展现给定时间间隔的服务器的状态值. 一般VMSTAT工具的使用是通过 ...
  8. Linux常用服务介绍

    由于各版本的Linux可能有稍微的差异,在加上所安装的服务不同(这里以CentOS5.0为例). 1.NetworkManager,NetworkMangerDispatcher: 说明:是一个自动切换网络连接的后台进程 ...
  9. Linux防火墙iptables基本使用方法

    iptables是Linux上常用的防火墙软件,一般VPS系统里面默认都有集成. 1.安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables De ...
  10. 关于linux防火墙

    事实上,每一个主要的Linux版本中都有不同的防火墙软件套件.Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序.第一代是Linux 内核1.1版本所使用的Alan Cox从 ...
  11. Linux防火墙之iptables基础

    通过为防火墙提供有关对来自某个源,到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤.通过使用Netfilter/iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核 ...
  12. Linux防火墙之iptables建立规则和链

    在RHEL 7.0中安装启动iptables: yum install iptables-services #安装iptables systemctl mask firewalld.service #屏蔽firewall ...
  13. Linux之inode介绍

    一.inode是什么? 理解inode,要从文件储存说起. 文件储存在硬盘上,硬盘的最小存储单位叫做"扇区"(Sector).每个扇区储存512字节(相当于0.5KB). 操作系统读取硬盘的时候,不会 ...
  14. linux 防火墙的相关设置

    查看状态:/etc/init.d/iptables status 关闭:/etc/init.d/iptables stop 禁止防火墙在系统启动的时候启动:/sbin/chkconfig --level 2345 ipt ...
  15. 永久关闭linux防火墙

    1.首先查看防火墙状态: service iptables status 2.永久性生效,重启后不会复原 开启:chkconfig iptables on 关闭:chkconfig iptables off 3.即时生效 ...
  16. Linux防火墙之具有命令行的FirewallD的基本操作

    启动FirewallD服务: systemctl enable firewalld.service #设置开机启动 systemctl start firewalld.service #开启服务 查看防火墙状态: sys ...
  17. linux 防火墙

    [root @localhost ~]# service iptables stop iptables iptables: Flushing firewall rules: [ OK ] iptables: Settin ...
  18. Linux系统 防火墙检查.开启.关闭

    Linux系统 防火墙检查.开启.关闭 ping测试必须在关闭Linux防火墙的条件下进行,否则可能失败. 查看防火墙信息: #/etc/init.d/iptables status 防火墙重启: #/etc/init. ...
  19. Linux系统中最实用的十大开源防火墙

    看到的一篇文章,算是收藏了,博闻广识. ------------------------------------------------------------------------------------------ ...