Linux下iptables的研究与实现论文.doc

目录
Linux包过滤防火墙的架构 1
Linux防火墙的安装、启动和关闭 2
第二章 iptables简介 5
iptables的基本概念 5
iptables数据包的传输过程 6
激活IP包转发功能 7
第三章 iptables的使用 9
iptables的命令格式 9
iptables命令的使用 11
第四章 iptables实现NAT服务 17
NAT服务概述 17
利用iptables实现NAT服务 19
第五章 iptables技巧实例 25
禁止访问不健康的网站 25
禁止某些客户上网 25
禁止客户使用某些服务 26
禁止使用ICMP协议 26
利用字符串匹配过滤视频网站 28
利用iptables的定时功能 30
利用iplimit参数设置最大连接数 31
第六章致谢 33
参考文献 34
Linux包过滤防火墙的架构
iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段:
,采用ipfw来操作内核包过滤规则。
,采用ipfwadm来操作内核包过滤规则。
,采用ipchains来控制内核包过滤规则。
(如Red Hat 、RHEL),采用一个全新的内核包过滤管理工具——iptables。
iptables只是防火墙与用户之间的接口,filter。filter组件和iptables组件组成,filter运行在内核态,而iptables运行在用户态,filter来实现防火墙的功能。
(filter组件
netfilter是Linux内核中的一个用于扩展各种网络服务的结构化底层框架。该框架定义了包过滤子系统功能的实现,提供了filter、nat和mangle3个表,默认使用的是filter表。每个表中包含有若干条内建的链(chains),用户可在表中创建自定义的链。在每条链中,可定义一条或多条过滤规则(rules)。每条规则应指定所要检查的包的特征以及如何处理与这对应的包,这被称为目标(target)。目标值可以是用户自定义的一个链名,EPT、DROP、REJECT、RETURN等值。
(2)iptables组件
filter规则和管理内核包过滤的工具,用户通过它来创建、删除或插入链,并可以在链中插入、删除和修改过滤规则。iptables仅仅是一个包过滤工具,filter和相关的支持模块来实现的。
Linux防火墙的安装、启动和关闭
iptables防火墙内置于RedHat系统内核中,所以它是随系统的安装而自动安装的。可使用如下命令检查是否已安装(如下图):
图1-2 检查iptables是否安装
安装RHEL 4 AS时系统会提示是否开启防火墙,默认情况下将开启防火墙。由于系统的防火墙功能是使用iptables实现的,因此系统会根据用户的设置在iptables中添加相应的规则。
如果在安装时选择禁用防火墙,则在安装完成后可在终端命令窗口中执行“setup”命令将弹出“配置应用程序”窗口(如下图1-3)