基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實現(xiàn)

1、基于LINUX操作系統(tǒng)的防火墻技術(shù)及其詳細實現(xiàn)摘要本文介紹了LINUX下常用的防火墻規(guī)那么配置軟件Iphains；從實現(xiàn)原理、配置方法以及功能特點的角度描繪了LINUX防火墻的三種功能；并給出了一個LINUX防火墻實例作為參考。火墻以及外部效勞器之間是如何進展數(shù)據(jù)傳輸?shù)模敲?，在LINUX防火墻內(nèi)部，那些“防火鏈又是如何工作的呢？其工作過程如圖3所示：steven主機發(fā)來的數(shù)據(jù)包經(jīng)由內(nèi)部接口eth1進來后，首先承受INPUT鏈的“檢查：系統(tǒng)內(nèi)核從包頭中提取出信息，與INPUT鏈中所有適用于eth1接口的過濾規(guī)那么逐個比擬，直到匹配通過。之后，該數(shù)據(jù)包被轉(zhuǎn)發(fā)給本地的代理進程。同樣，代理進程發(fā)送給

2、遠程eb效勞器的數(shù)據(jù)包在從防火墻外部接口發(fā)送出去之前，也要經(jīng)過UTPUT鏈的“檢查，即與UTPUT鏈中所有適用于eth0接口的規(guī)那么一一比擬。返回的過程正好與上述相反，在此就不再贅述為了實現(xiàn)以上過程，我們必須在防火墻規(guī)那么腳本中添加以下規(guī)那么：iphainsAinputieth1ptps1110d8080jAEPTiphainsAutputieth0ptps1050d3180jAEPTiphainsAinputieth0ptp!-ys3180d1050jAEPTiphainsAutputieth1ptp!ys8080d1110jAEPT從上文對代理功能的原理和實現(xiàn)的表達中，我們可以看出，LIN

3、UX防火墻實際上扮演了一個“代理網(wǎng)關(guān)的角色。內(nèi)部主機和遠程效勞器分別都只與防火墻進展連接，而真正的“起點和“終點之間卻毫無聯(lián)絡。3.3IP假裝IP假裝IPasquerade是LINUX操作系統(tǒng)自帶的又一個重要功能。通過在系統(tǒng)內(nèi)核增添相應的假裝模塊，內(nèi)核可以自動地對經(jīng)過的數(shù)據(jù)包進展“假裝，即修改包頭中的源目的IP信息，以使外部主機誤認為該包是由防火墻主機發(fā)出來的。這樣做，可以有效解決使用內(nèi)部保存IP的主機不能訪問互聯(lián)網(wǎng)的問題，同時屏蔽了內(nèi)部局域網(wǎng)。這一點，與前面所講的代理所到達的目的是很類似的。關(guān)于IP假裝在LINUX防火墻內(nèi)部的詳細實現(xiàn)過程，請看圖4。仍以圖2中所示的典型情況為例，steven

4、主機的IE進程直接與遠程的eb效勞器建立一個連接。當數(shù)據(jù)包到達防火墻的內(nèi)部接口后，照樣要例行INPUT鏈的檢查。之后，數(shù)據(jù)包被送到FRARD鏈，承受系統(tǒng)內(nèi)核的“假裝處理，即將包頭中的源IP地址改為防火墻外部接口eth0的地址，并在系統(tǒng)中做下記錄，以便一會兒對其回應包的目的IP進展“恢復。這樣，當該數(shù)據(jù)包順利從外部接口出來時，其包頭中源IP已被改為。遠程效勞器會認為這是從防火墻的合法地址發(fā)來的，從而對其做出響應。當遠程效勞器返回的回應包到達防火墻時，先經(jīng)過INPUT鏈，然后會根據(jù)系統(tǒng)關(guān)于IP假裝的記錄對數(shù)據(jù)包的目的IP進展恢復，即將改為，最后再經(jīng)過UTPUT鏈返回到steven主機。為了實現(xiàn)這個

5、過程，我們必須在防火墻規(guī)那么腳本中添加以下規(guī)那么：iphainsAinputieth1ptps1110d3180jAEPTiphainsAutputieth0ptps1050d3180jAEPTiphainsAinputieth0ptp!-ys3180d1050jAEPTiphainsAutputieth1ptp!ys3180d1110jAEPTiphainsAfrardieth0s1110d3180jASQ與代理功能比擬而言，IP假裝不需要安裝相應的代理軟件，數(shù)據(jù)包的假裝對用戶來說都是“透明的，并且整個過程都是在IP層實現(xiàn)，因此實現(xiàn)速度較快。缺點是不能對經(jīng)過的數(shù)據(jù)包作詳細的記錄。以上介紹了L

6、INUX防火墻在實際的設置中常用到的三種功能。但一般說來，用戶在創(chuàng)立自己的防火墻規(guī)那么腳本時，可以根據(jù)自己的需要將這三種功能組合起來實現(xiàn)。4一個LINUX防火墻實例以下是我前一段時間為某辦公室搭建的LINUX防火墻的實際配置，給出以供參考。該室網(wǎng)絡拓撲圖如圖5：有兩個局域網(wǎng)，LAN1地址：5/48為公共網(wǎng)絡IP，LAN2地址為/,為內(nèi)部保存地址。LINUX防火墻有兩個內(nèi)部接口：0接LAN1；接LAN2?，F(xiàn)對防火墻進展配置，使LAN2的主機通過IP假裝訪問互聯(lián)網(wǎng)，但只允許使用外部eb代理效勞器4的1252端口。LAN1中的主機被限制使用幾種常用的互聯(lián)網(wǎng)效勞DNS、STP、PP3、HTTP和FTP

7、。下面就是創(chuàng)立的防火墻規(guī)那么腳本：#/et/r.d/r.fireall#!/bin/sh#eth0-External_interfae#eth1-LAN1_interfae#eth2-LAN2_interfaeehStartingfirealling.#Flushanyexistingrulesfrallhainsiphains-F#Setthedefaultpliytdenyiphains-PinputDENYiphains-PutputREJETiphains-PfrardREJET#Enabletraffinthelpbakinterfaeiphains-Ainput-il-jAEPTi

8、phains-Autput-il-jAEPT#Enablethetraffintheeth1iphains-Ainput-ieth1-jAEPTiphains-Autput-ieth1-jAEPT#thetraffintheeth2nlyenabllingusingtheEBPRXYiphains-Ainput-ieth2-ptp-s/241024:65535-d41252-jAEPTiphains-Autput-ieth2-ptp!-y-s41252-d/241024:65535-jAEPT#Frardingrulesiphains-Afrard-ieth0-s4/29-jAEPTiphai

9、ns-Afrard-ieth0-s/24-jASQiphains-Afrard-ieth1-d4/29-jAEPT#EnableutgingthepaketsfrLANntheExternal_Interfaeiphains-Autput-ieth0-jAEPT#EnableiningseIPessagesneth#1.Dest_Unreahable,Servie_Unavailableiphains-Ainput-ieth0-pip-sany/03-d4/29-jAEPT#2.Tie_Exeedediphains-Ainput-ieth0-pip-sany/011-d4/29-jAEPT#3

10、.Allutgingpingstanyhereiphains-Ainput-ieth0-pip-sany/00-d4/29-jAEPT#EnablePrxyf4:1252iphains-Ainput-ieth0-ptp!-y-s41252-jAEPT#DNS(53)(DNS:)lientdesiphains-Ainput-ieth0-pudp-s53-d4/291024:65535-jAEPTiphains-Ainput-ieth0-ptp!-y-s53-d4/291024:65535-jAEPT#STP(25)EnablesendingailthrughareteSTPgateayiphai

11、ns-Ainput-ieth0-ptp!-y-sany/025-d4/291024:65535-jAEPT#PP(110)-EnablereEivingailfraretePPserveriphains-Ainput-ieth0-ptp!-y-sany/0110-d4/291024:65535-jAEPT#HTTP(80)-EnableaessingreteEBsitesasalientiphains-Ainput-ieth0-ptp!-y-sany/080-d4/291024:65535-jAEPT#FTP(20,21)-EnableaessingreteFTPserversiphains-Ainput-