基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實現(xiàn)_第1頁
基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實現(xiàn)_第2頁
基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實現(xiàn)_第3頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、基于LINUX操作系統(tǒng)的防火墻技術(shù)及其詳細實現(xiàn)摘要本文介紹了LINUX下常用的防火墻規(guī)那么配置軟件Iphains;從實現(xiàn)原理、配置方法以及功能特點的角度描繪了LINUX防火墻的三種功能;并給出了一個LINUX防火墻實例作為參考?;饓σ约巴獠啃谄髦g是如何進展數(shù)據(jù)傳輸?shù)模敲?,在LINUX防火墻內(nèi)部,那些“防火鏈又是如何工作的呢?其工作過程如圖3所示:steven主機發(fā)來的數(shù)據(jù)包經(jīng)由內(nèi)部接口eth1進來后,首先承受INPUT鏈的“檢查:系統(tǒng)內(nèi)核從包頭中提取出信息,與INPUT鏈中所有適用于eth1接口的過濾規(guī)那么逐個比擬,直到匹配通過。之后,該數(shù)據(jù)包被轉(zhuǎn)發(fā)給本地的代理進程。同樣,代理進程發(fā)送給

2、遠程eb效勞器的數(shù)據(jù)包在從防火墻外部接口發(fā)送出去之前,也要經(jīng)過UTPUT鏈的“檢查,即與UTPUT鏈中所有適用于eth0接口的規(guī)那么一一比擬。返回的過程正好與上述相反,在此就不再贅述為了實現(xiàn)以上過程,我們必須在防火墻規(guī)那么腳本中添加以下規(guī)那么:iphainsAinputieth1ptps1110d8080jAEPTiphainsAutputieth0ptps1050d3180jAEPTiphainsAinputieth0ptp!-ys3180d1050jAEPTiphainsAutputieth1ptp!ys8080d1110jAEPT從上文對代理功能的原理和實現(xiàn)的表達中,我們可以看出,LIN

3、UX防火墻實際上扮演了一個“代理網(wǎng)關(guān)的角色。內(nèi)部主機和遠程效勞器分別都只與防火墻進展連接,而真正的“起點和“終點之間卻毫無聯(lián)絡。3.3IP假裝IP假裝IPasquerade是LINUX操作系統(tǒng)自帶的又一個重要功能。通過在系統(tǒng)內(nèi)核增添相應的假裝模塊,內(nèi)核可以自動地對經(jīng)過的數(shù)據(jù)包進展“假裝,即修改包頭中的源目的IP信息,以使外部主機誤認為該包是由防火墻主機發(fā)出來的。這樣做,可以有效解決使用內(nèi)部保存IP的主機不能訪問互聯(lián)網(wǎng)的問題,同時屏蔽了內(nèi)部局域網(wǎng)。這一點,與前面所講的代理所到達的目的是很類似的。關(guān)于IP假裝在LINUX防火墻內(nèi)部的詳細實現(xiàn)過程,請看圖4。仍以圖2中所示的典型情況為例,steven

4、主機的IE進程直接與遠程的eb效勞器建立一個連接。當數(shù)據(jù)包到達防火墻的內(nèi)部接口后,照樣要例行INPUT鏈的檢查。之后,數(shù)據(jù)包被送到FRARD鏈,承受系統(tǒng)內(nèi)核的“假裝處理,即將包頭中的源IP地址改為防火墻外部接口eth0的地址,并在系統(tǒng)中做下記錄,以便一會兒對其回應包的目的IP進展“恢復。這樣,當該數(shù)據(jù)包順利從外部接口出來時,其包頭中源IP已被改為。遠程效勞器會認為這是從防火墻的合法地址發(fā)來的,從而對其做出響應。當遠程效勞器返回的回應包到達防火墻時,先經(jīng)過INPUT鏈,然后會根據(jù)系統(tǒng)關(guān)于IP假裝的記錄對數(shù)據(jù)包的目的IP進展恢復,即將改為,最后再經(jīng)過UTPUT鏈返回到steven主機。為了實現(xiàn)這個

5、過程,我們必須在防火墻規(guī)那么腳本中添加以下規(guī)那么:iphainsAinputieth1ptps1110d3180jAEPTiphainsAutputieth0ptps1050d3180jAEPTiphainsAinputieth0ptp!-ys3180d1050jAEPTiphainsAutputieth1ptp!ys3180d1110jAEPTiphainsAfrardieth0s1110d3180jASQ與代理功能比擬而言,IP假裝不需要安裝相應的代理軟件,數(shù)據(jù)包的假裝對用戶來說都是“透明的,并且整個過程都是在IP層實現(xiàn),因此實現(xiàn)速度較快。缺點是不能對經(jīng)過的數(shù)據(jù)包作詳細的記錄。以上介紹了L

6、INUX防火墻在實際的設置中常用到的三種功能。但一般說來,用戶在創(chuàng)立自己的防火墻規(guī)那么腳本時,可以根據(jù)自己的需要將這三種功能組合起來實現(xiàn)。4一個LINUX防火墻實例以下是我前一段時間為某辦公室搭建的LINUX防火墻的實際配置,給出以供參考。該室網(wǎng)絡拓撲圖如圖5:有兩個局域網(wǎng),LAN1地址:5/48為公共網(wǎng)絡IP,LAN2地址為/,為內(nèi)部保存地址。LINUX防火墻有兩個內(nèi)部接口:0接LAN1;接LAN2?,F(xiàn)對防火墻進展配置,使LAN2的主機通過IP假裝訪問互聯(lián)網(wǎng),但只允許使用外部eb代理效勞器4的1252端口。LAN1中的主機被限制使用幾種常用的互聯(lián)網(wǎng)效勞DNS、STP、PP3、HTTP和FTP

7、。下面就是創(chuàng)立的防火墻規(guī)那么腳本:#/et/r.d/r.fireall#!/bin/sh#eth0-External_interfae#eth1-LAN1_interfae#eth2-LAN2_interfaeehStartingfirealling.#Flushanyexistingrulesfrallhainsiphains-F#Setthedefaultpliytdenyiphains-PinputDENYiphains-PutputREJETiphains-PfrardREJET#Enabletraffinthelpbakinterfaeiphains-Ainput-il-jAEPTi

8、phains-Autput-il-jAEPT#Enablethetraffintheeth1iphains-Ainput-ieth1-jAEPTiphains-Autput-ieth1-jAEPT#thetraffintheeth2nlyenabllingusingtheEBPRXYiphains-Ainput-ieth2-ptp-s/241024:65535-d41252-jAEPTiphains-Autput-ieth2-ptp!-y-s41252-d/241024:65535-jAEPT#Frardingrulesiphains-Afrard-ieth0-s4/29-jAEPTiphai

9、ns-Afrard-ieth0-s/24-jASQiphains-Afrard-ieth1-d4/29-jAEPT#EnableutgingthepaketsfrLANntheExternal_Interfaeiphains-Autput-ieth0-jAEPT#EnableiningseIPessagesneth#1.Dest_Unreahable,Servie_Unavailableiphains-Ainput-ieth0-pip-sany/03-d4/29-jAEPT#2.Tie_Exeedediphains-Ainput-ieth0-pip-sany/011-d4/29-jAEPT#3

10、.Allutgingpingstanyhereiphains-Ainput-ieth0-pip-sany/00-d4/29-jAEPT#EnablePrxyf4:1252iphains-Ainput-ieth0-ptp!-y-s41252-jAEPT#DNS(53)(DNS:)lientdesiphains-Ainput-ieth0-pudp-s53-d4/291024:65535-jAEPTiphains-Ainput-ieth0-ptp!-y-s53-d4/291024:65535-jAEPT#STP(25)EnablesendingailthrughareteSTPgateayiphai

11、ns-Ainput-ieth0-ptp!-y-sany/025-d4/291024:65535-jAEPT#PP(110)-EnablereEivingailfraretePPserveriphains-Ainput-ieth0-ptp!-y-sany/0110-d4/291024:65535-jAEPT#HTTP(80)-EnableaessingreteEBsitesasalientiphains-Ainput-ieth0-ptp!-y-sany/080-d4/291024:65535-jAEPT#FTP(20,21)-EnableaessingreteFTPserversiphains-Ainput-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論