防火墻、入侵偵測(cè)整合系統(tǒng)

1、iptables,指導(dǎo)老師：溫翔安組員：溫允中4970E011 李雅俐4970E025 蕭積遠(yuǎn)4970E026 陳欣暉4970E086,iptables,iptables 是利用封包過(guò)濾的機(jī)制， 所以他會(huì)分析封包的表頭資料。根據(jù)表頭資料與定義的『規(guī)則』來(lái)決定該封包是否可以進(jìn)入主機(jī)或者是被丟棄。 意思就是說(shuō)：『根據(jù)封包的分析資料 "比對(duì)&quo

2、t; 你預(yù)先定義的規(guī)則， 若封包資料與規(guī)則內(nèi)容相同則進(jìn)行動(dòng)作，否則就繼續(xù)下一條規(guī)則的比對(duì)！』,,當(dāng)一個(gè)網(wǎng)路封包要進(jìn)入到主機(jī)之前，會(huì)先經(jīng)由 NetFilter 進(jìn)行檢查，那就是 iptables 的規(guī)則了。 圖中主要的目的在告知你：『規(guī)則是有順序的』！例如當(dāng)網(wǎng)路封包進(jìn)入 Rule 1 的比對(duì)時(shí)， 如果比對(duì)結(jié)果符合 Rule 1 ，此時(shí)這個(gè)網(wǎng)路封包就會(huì)進(jìn)行 Action 1 的動(dòng)作，而不會(huì)理會(huì)後續(xù)的 Rule 2, Rule 3.... 等

3、規(guī)則的分析了。,,,,而如果這個(gè)封包並不符合 Rule 1 的比對(duì)，那就會(huì)進(jìn)入 Rule 2 的比對(duì)了！如此一個(gè)一個(gè)規(guī)則去進(jìn)行比對(duì)就是了。 那如果所有的規(guī)則都不符合怎辦？此時(shí)就會(huì)透過(guò)預(yù)設(shè)動(dòng)作 (封包政策, Policy) 來(lái)決定這個(gè)封包的去向。 所以啦，當(dāng)你的規(guī)則順序排列錯(cuò)誤時(shí)，就會(huì)產(chǎn)生很嚴(yán)重的錯(cuò)誤了。,,假設(shè)你的 Linux 主機(jī)提供了 WWW 的服務(wù)，那麼自然就要針對(duì) port 80 來(lái)啟用通過(guò)的封包規(guī)則，但是你發(fā)現(xiàn) IP 來(lái)源為

4、192.168.100.100 老是惡意的嘗試入侵你的系統(tǒng)，所以你想要將該 IP 拒絕往來(lái)，最後，所有的非 WWW 的封包都給他丟棄，就這三個(gè)規(guī)則來(lái)說(shuō)，你要如何設(shè)定防火牆?rùn)z驗(yàn)順序呢？Rule 1 先抵擋 192.168.100.100 ；Rule 2 再讓要求 WWW 服務(wù)的封包通過(guò)；Rule 3 將所有的封包丟棄。,,這樣的排列順序就能符合你的需求，不過(guò)，萬(wàn)一你的順序排錯(cuò)了，變成：Rule 1 先讓要求 WWW 服務(wù)的封包通過(guò)

5、；Rule 2 再抵擋 192.168.100.100 ；Rule 3 將所有的封包丟棄。此時(shí)，那個(gè) 192.168.100.100 『可以使用你的 WWW 服務(wù)』喔！只要他對(duì)你的主機(jī)送出 WWW 要求封包，就可以使用你的 WWW 功能了，因?yàn)槟愕囊?guī)則順序定義第一條就會(huì)讓他通過(guò)，而不去考慮第二條規(guī)則！,,Linux 的 iptables 至少就有三個(gè)表格，包括管理本機(jī)進(jìn)出的 filter 、管理後端主機(jī)的 nat 、管理特殊旗標(biāo)使

6、用的 mangle 。filter (過(guò)濾器)：主要跟進(jìn)入 Linux 本機(jī)的封包有關(guān)，這個(gè)是預(yù)設(shè)的 table 喔！ nat (位址轉(zhuǎn)換)：是 Network Address Translation 的縮寫， 這個(gè)表格主要在進(jìn)行來(lái)源與目的之 IP 或 port 的轉(zhuǎn)換，與 Linux 本機(jī)較無(wú)關(guān)，主要與 Linux 主機(jī)後的區(qū)域網(wǎng)路內(nèi)電腦較有相關(guān)。 mangle (破壞者)：這個(gè)表格主要是與特殊的封包的路由旗標(biāo)有關(guān)。[較少用到]

7、,,封包進(jìn)入 Linux 主機(jī)使用資源 (路徑 A)： 在路由判斷後確定是向 Linux 主機(jī)要求資料的封包，主要就會(huì)透過(guò) filter 的 INPUT 鏈來(lái)進(jìn)行控管；封包經(jīng)由 Linux 主機(jī)的轉(zhuǎn)遞，沒(méi)有使用主機(jī)資源，而是向後端主機(jī)流動(dòng) (路徑 B)： 在路由判斷之前進(jìn)行封包表頭的修訂作業(yè)後，發(fā)現(xiàn)到封包主要是要透過(guò)防火牆而去後端，此時(shí)封包就會(huì)透過(guò)路徑 B 來(lái)跑動(dòng)。 也就是說(shuō)，該封包的目標(biāo)並非我們的 Linux 本機(jī)。主要經(jīng)過(guò)的鏈?zhǔn)?

8、filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。 封包由 Linux 本機(jī)發(fā)送出去 (路徑 C)： 例如回應(yīng)用戶端的要求，或者是 Linux 本機(jī)主動(dòng)送出的封包，都是透過(guò)路徑 C 來(lái)跑的。先是透過(guò)路由判斷， 決定了輸出的路徑後，再透過(guò) filter 的 OUTPUT 鏈來(lái)傳送的！當(dāng)然，最終還是會(huì)經(jīng)過(guò) nat 的 POSTROUTING 鏈。,,,iptables 語(yǔ)法,[root@w

9、ww ~]# iptables [-t tables] [-L] [-nv] 選項(xiàng)與參數(shù)： -t ：後面接 table ，例如 nat 或 filter ，若省略此項(xiàng)目，則使用預(yù)設(shè)的 filter -L ：列出目前的 table 的規(guī)則 -n ：不進(jìn)行 IP 與 HOSTNAME 的反查，顯示訊息的速度會(huì)快很多！ -v ：列出更多的資訊，包括通過(guò)該規(guī)則的封包總位元數(shù)、相關(guān)的網(wǎng)路介面等,,,iptables 規(guī)則順序,,,無(wú)論任何

10、來(lái)源 (0.0.0.0/0) 且要去任何目標(biāo)的封包，不論任何封包格式 (prot 為 all)，通通都接受只要是 icmp 類型為 255 號(hào)的，就予以放行只要是封包格式為 esp 的，就予以放行 (特殊功能)只要是封包格式為 ah 的，就予以放行 (特殊功能)只要是要傳送給目標(biāo)為 224.0.0.251 且為 udp 埠口 5353 的，就予以接受只要是傳給 port 631 的 udp 封包就接受只要是傳給 port 6