Linux防火墙之介绍

2015-05-12  来源:本站原创  分类:RedHat Enterprise Linux 7  人气:535 

Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(http://www.netfilter.org/)。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。Netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化控制。

事实上,每个主要的Linux版本中都有不同的防火墙软件套件,iptables(Netfilter)应用程序被认为是Linux中实现包过滤功能的第4代应用程序。

Netfilter/iptables系统如何工作

Netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加,编辑和除去规则。这些规则是在决定信息包过滤时防火墙所遵循和组成的,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在所谓的链(chain)中。虽然Netfilter/iptables IP信息包过滤系统称为“单个实体”,但它实际上由两个组件即Netfilter和iptables组成。Netfilter组件也称为“内核空间(kernel space)”,是内核的一部分。它由一些信息包过滤表组成,这些表包含了内核用来控制信息包过滤处理的规则集。iptables组件是一种工具,也称为“用户空间(User space)”,它使插入,修改和除去信息包过滤表中的规则变得容易。通过使用用户空间可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。这些规则具有目标,它们告诉内核来自某些源,前往某些目的地或如何处理具有某些协议类型的信息包。如果某个信息包与规则匹配,那么使用目标ACCEPT允许该信息包通过,还可以使用目标DROP或REJECT来阻塞并杀死信息包。对于信息包执行的其他操作,还有许多其他目标。

根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被添加到INPUT链中;处理出站信息包的规则被添加到OUTPUT链中;处理正在转发的信息包的规则被添加到FORWARD链中,这3个链是基本信息包过滤表中内置的默认主链。另外,还有其他许多可用的链的类型 (如PREROUTING和POSTROUTING),以及用户定义链。每个链都可以有一个策略,它定义“默认目标”,即要执行的默认操作,当信息包与链中的任何规则都不匹配时执行此操作。

建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了,这时内核空间从用户空间接管工作。当信息包到达防火墙时,内核先检查信息包的头信息,尤其是信息包的目的地,这个过程称为“路由”。

如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将其传递到内核空间信息包过滤表的INPUT链(过滤所有目标地址是本机的数据包----对进入本机数据包的过滤)。如果信息包源自系统内部或系统所连接的内部网上的其他源,并且此信息包要前往另一个外部系统,那么信息包被传递到OUTPUT链(过滤所有本机产生的数据包----对源地址的数据包的过滤)。类似的,源自外部系统并前往内部系统的信息包被传递到FORWARD链(过滤所有路过本机的数据包----源地址和目标地址都不是本机的数据包)。

接下来,将信息包的头信息与其所传递到的链中的每条规则进行比较,看它是否与某条规则完全匹配。如果信息包与某条规则匹配,那么内核就对该信息包执行由该规则的目标指定的操作; 如果信息包与这条规则不匹配,那么它将与链中的下一条规则进行比较。如果信息包与链中的任何规则都不匹配,那么内核将参考该链的策略来决定如何处理该信息包。理想的策略是应该告诉内核丢弃(DROP)该信息包。

相关文章
  • Linux防火墙之介绍 2015-05-12

    Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(http://www.netfilter.org/).它完全是免费的,并且可以在一台低配置的老机器上很好地运行.Netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化控制. 事实上,每个主要的Linux版本中都有不同的防火墙软件套件,iptables(Netfilter)应用程序被认为是Linux中实现包过滤功能的第4代应用程序. Netfilter/iptables系统如何工作

  • Linux防火墙 Firestarter 2008-09-17

    Firestarter 网站 : http://www.fs-security.com/ Firestarter是一个非常好用的防火墙图形化配置工具,作者和开发者是芬兰人. 首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为中小型Linux网络的系统管理员提供了 良好的安全服务.它的使用简单但功能强大:如果你的Linux系统中安装的声卡.并且在Firestarter中进行了配置,那么在遭到系统入侵时它还会 发出报警铃声.Firestart

  • Linux知识总结复习2:Linux防火墙的基本概念和使用方法(未完待续) 2012-12-02

    要理解Linux防火墙,先记住下面两张图(未完待续): 图1 Netfilter packet flow 图2 详细处理

  • Linux 异步IO介绍 2013-12-24

    Linux 异步IO介绍 epoll epoll是Linux对select功能的改进,其性能大大提升,而且和监控的IO个数无关. API: epoll_create: ***`int epoll_create(int size);`*** 创建一个`epoll`实例,`size`参数是可监控IO的数量大小,但是Linux 2.6.8之后已不再使用. epoll_ctl: ***`int epoll_ctl(int epfd, int op, int fd, struct epoll_event

  • Linux防火墙之FirewallD简介 2015-05-12

    FirewallD提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具.它支持IPv4,IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口.system-config-firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启(注:system-config-firewall就是iptables的图形界面管理工具,而Firewalld是由Red Hat的Thomas Woerner为F

  • LVS(Linux Virtual Server)Linux 虚拟服务器介绍及配置(负载均衡系统) 2013-11-26

    LVS(Linux Virtual Server) 是Unix-like系统中的一个虚拟服务器,是国内贡献给开源组织的一个最优秀的项目之一 一,简介 LVS(Linux Virtual Server) 是Unix-like系统中的一个虚拟服务器,是国内贡献给开源组织的一个最优秀的项目之一.LVS在Unix-like系统中 是作为一个前端(Director)存在的,又称为调度器,它本身不提供任何的服务,只是将通过互联网进来的请求接受后再转发给后台运行的真正的 服务器(RealServer)进行处理

  • linux openssl基础介绍 2013-10-01

    随着计算机网络技术的发展,方便快捷的互连网使人们渐渐习惯了从Web页上收发E-mail.购物和交易,这时Web页面上需要传输重要或敏感的数据,例如用户的银行帐户.密码等,所以网络安全就成为现代计算机网络应用急需解决的问题. 现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式.服务器端采用支持SSL的Web服务器,用户端采用支持SSL的浏览器实现安全通信. SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输.N

  • Linux命令vmstat介绍 2014-11-12

    vmstat介绍 通过STATSPACK收集服务器信息,主要通过收集VMSTAT的信息来展现服务器状况.VMSTAT工具是最常见的Unix监控工具,可以展现给定时间间隔的服务器的状态值. 一般VMSTAT工具的使用是通过两个数字参数来完成的,第一个参数是采样的时间间隔数,单位是秒,第二个参数是采样的次数.如: [[email protected] oracle]$vmstat 2 procs ---–memory---- -swap– -–io-- –system– --cpu-- r b swp

  • Linux常用服务介绍 2011-06-29

    由于各版本的Linux可能有稍微的差异,在加上所安装的服务不同(这里以CentOS5.0为例). 1.NetworkManager,NetworkMangerDispatcher: 说明:是一个自动切换网络连接的后台进程.很多笔记本用户都需要启用该功能,它让你能够在无线网络和有线网络之间切换.大多数台式机用户应该关闭该服务.一些 DHCP 用户可能需要开启它. 预设端口:无 是否需要启动:一般不需要启动. 2.acpid: 配置文件:/proc/acpi/event 说明:Advanced Co

  • Linux防火墙iptables基本使用方法 2012-10-09

    iptables是Linux上常用的防火墙软件,一般VPS系统里面默认都有集成. 1.安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 2.清除已有iptables规则 iptables -F iptables -X iptables -Z 3.开放指定的端口 #允许本地回环接口(即运行本机访问本机) iptables -A INPU

  • 关于linux防火墙 2014-08-09

    事实上,每一个主要的Linux版本中都有不同的防火墙软件套件.Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序.第一代是Linux 内核1.1版本所使用的Alan Cox从BSD Unix中移植过来的ipfw. 在2.0版的内核中,Jos Vos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具.在2.2版内核中, Russell和Michael Neuling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用

  • Linux防火墙之iptables基础 2015-05-12

    通过为防火墙提供有关对来自某个源,到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤.通过使用Netfilter/iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中.添加,除去及编辑规则命令的一般语法如下: $ iptables [-t table] command [match] [target] 大部分规则都是按这种语法写的,如果不想用标准的表,就要在"table"处指定表名.一般情况下,没有必要

  • Linux防火墙之iptables建立规则和链 2015-05-12

    在RHEL 7.0中安装启动iptables: yum install iptables-services #安装iptables systemctl mask firewalld.service #屏蔽firewalld服务 systemctl enable iptables.service #设置开机启动 systemctl enable ip6tables.service #设置开机启动 systemctl stop firewalld.service #停止firewalld服务 sys

  • Linux之inode介绍 2014-09-28

    一.inode是什么? 理解inode,要从文件储存说起. 文件储存在硬盘上,硬盘的最小存储单位叫做"扇区"(Sector).每个扇区储存512字节(相当于0.5KB). 操作系统读取硬盘的时候,不会一个个扇区地读取,这样效率太低,而是一次性连续读取多个扇区,即一次性读取一个"块"(block).这种由多个扇区组成的"块",是文件存取的最小单位."块"的大小,最常见的是4KB,即连续八个 sector组成一个 block. 文

  • linux 防火墙的相关设置 2014-11-20

    查看状态:/etc/init.d/iptables status 关闭:/etc/init.d/iptables stop 禁止防火墙在系统启动的时候启动:/sbin/chkconfig --level 2345 iptables off 重启防火墙:/etc/init.d/iptables restart 其它高级用法:如单独开放某个端口什么的需求自行google. 参考:http://blog.csdn.net/bslzl/article/details/7937899

  • 永久关闭linux防火墙 2015-02-10

    1.首先查看防火墙状态: service iptables status 2.永久性生效,重启后不会复原 开启:chkconfig iptables on 关闭:chkconfig iptables off 3.即时生效,重启后复原 开启:service iptables start 关闭:service iptables stop 3.设置后重启:reboot

  • Linux防火墙之具有命令行的FirewallD的基本操作 2015-05-12

    启动FirewallD服务: systemctl enable firewalld.service #设置开机启动 systemctl start firewalld.service #开启服务 查看防火墙状态: systemctl status firewalld 1. 区域管理 1.1. 网络区域简介 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流.例如,互联网是不可信任的区域,而内部网络是高度信任的区域.网络安全模型可以在安装,初次启动和首次建

  • linux 防火墙 2013-06-28

    [root @localhost ~]# service iptables stop iptables iptables: Flushing firewall rules: [ OK ] iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Unloading modules: [ OK ] [root @localhost ~]# service iptables status iptables: Firewall

  • Linux系统 防火墙检查.开启.关闭 2012-09-19

    Linux系统 防火墙检查.开启.关闭 ping测试必须在关闭Linux防火墙的条件下进行,否则可能失败. 查看防火墙信息: #/etc/init.d/iptables status 防火墙重启: #/etc/init.d/iptables restart 关闭开启防火墙服务(不建议永久关闭防火墙): 永久生效:chkconfig iptables on/off(重启生效) 即时生效:service iptables start/stop(重启失效) 永久关闭防火墙也可以这样: #chkconf

  • Linux系统中最实用的十大开源防火墙 2014-01-21

    看到的一篇文章,算是收藏了,博闻广识. ----------------------------------------------------------------------------------------------------------------------- 如今,开源防火墙可谓数目繁多.本文将涉及十个适合企业需求的最实用的开源防火墙. 1. Iptables Iptables/Netfilter是基于防火墙的最流行的命令行.它是Linux服务器安全的头道防线.许多系统管理员