NetFilter IPTables.

Slides:



Advertisements
Similar presentations
反歧视艾滋病人 志愿者培训 策划 反歧视艾滋病人 志愿者培训 策划. 培训缘起 —— 世界志愿者日 —— 世界艾滋病日 2009 年 12 月 1 日是第 22 个世界艾滋病日,今年的主题是 “ 权 益 责任 落实 ” 。 2009 年 12 月 5 日是世界志愿者日。 为使上海交通大学学生志愿者了解掌握预防艾滋病的基本.
Advertisements

支援不同網際網路供應商路由 之線路備援機制 黃政欽 育達商業技術學院資管研究所
ChinaUNIX 技术沙龙 iptables 基础及模块高级应用 marsaber 西安.
第五章 遵守社会公德 维护公共秩序 主讲人:王海斌.
易物之家 有限责任公司.
华特汽车配件有限公司网络改造解决方案 班级:网络技术-1101 答辩人:丁奇志 指导老师:欧阳炜昊.
第6章:计算机网络基础 网考小组.
高等教育出版社《哲学与人生》 第一课《客观实际与人生选择》说课 三原职教中心 许红.
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.
公共部门人力资源管理课程导学 学习本课程的三步 3、利用网络 2、掌握方法 1、了解课程.
一百零一年溪口國小 學校日 班級: 三年三班 教師: 張慈麟.
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
第十四章 軟體系統安全 課前指引 網際網路的發展將每台電腦串連成共通的網絡,而層出不窮的資訊安全問題使得如何在開放的環境中,實現軟體安全的議題,逐漸受到重視。就軟體安全的角度而言,可分為軟體安全的應用及實作兩方面。在軟體安全應用方面,主要討論如何安全地執行及操作應用軟體,就網路應用軟體而言,電子郵件與檔案傳送等軟體,已有許多相關的安全技術發展,另一項近年十分流行的網路應用服務-即時通訊軟體,其安全性問題亦日漸受到重視。
用“自言自语法”提高学生 英语口头表达能力 李奉栖.
第三节 树立正确的恋爱婚姻观 思政课部:陈兰兰.
关注热点 2014年天猫双十一成交总额 571亿 点亮217个国家地区
香港普通話研習社科技創意小學 周順強老師.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
路由器的性能特点和工作原理 两种常用的内部网关协议(RIP和OSPF) 路由器的产品结构 局域网中使用路由器的方案
数据转发过程.
幼儿戏剧的特点和价值 合肥幼儿师范高等专科学校 王丽.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
Netman Linux 的防火牆設計與應用 Netman
傳送與路徑選擇 連接種類 Forwarding Routing 參考課本第六章.
学生顶岗实习系统 培训教程 徐州建筑职业技术学院.
中学生网络安全教育.
国家公务员制度讲座 期末复习.
网络地址转换(NAT) 及其实现.
實驗8 ICMP協定分析 實驗目的 明瞭ICMP(Internet Control Message Protocol;網際網路控制訊息協定)的工作原理 解析ICMP協定下封包資料傳送的格式。
文档维护者:白金(platinum)、陈绪(bjchenxu)
網路概論.
網路指令 講師 : 郭育倫
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
Chapter 4 Network Layer (網路層).
利用 ISA Server 2004 建置應用層防護機制
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
计算机网络原理 计算机与信息工程分院 周文峰.
第 16 章 Internet架構.
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
Internet Protocol (IP)
访问控制列表(ACL) Version 1.0.
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
系統與網路管理工具.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
讲议: PXE 介绍及实现 Jarvis
第 2 章 TCP / IP 簡介.
網路探測:路徑、延遲 與流量統計 Instructor: Teaching Assistant:.
第9章 维护Linux网络 Linux的强大功能体现在网络上,网络用户无论是将Linux作为客户机还是服务器来使用都需要对其网络进行管理和维护,在管理和维护网络时,尤其在网络通信时更侧重于对信息安全性的考虑。 本章从网络的基础知识出发,详细介绍Linux下防火墙的功能与作用、路由器的原理以及SSH协议和相关的软件。通过本章的学习,使读者熟悉Linux下网络的相关知识,具备掌握管理和维护Linux网络的基本技能。
江西财经大学信息管理学院 《组网技术》课程组
NetST®防火墙培训教程 清华得实® 保留所有权利.
Unit 10: Introduction to the Internet
第十三章 TCP/IP 與 Internet 網路連結技術
Linux防火牆與NAT架設 2013/02/03.
2010電資院 「頂尖企業暑期實習」 經驗分享心得報告
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
什么叫浪漫?明知那个女孩儿不爱他,还送给她999朵玫瑰;
實驗5 IP協定分析 明瞭IP(Internet Protocol;Internet協定)的基礎觀念
Speaker : Chang Kai-Jia Date : 2010/04/26
Chapter 11 使用者資料包通訊協定.
實驗(一)學習如何使用WireShark
IP Layer Basics, Firewall, VPN, and NAT
第10讲 Web服务.
DDoS A 林育全.
IP Layer Basics & Firewall
第 4 章 网络层.
Presentation transcript:

NetFilter IPTables

Introduction 當封包抵達 Linux 防火牆的時候,依照它的目的地可以進入 Linux 主機由應用程式接收,或者是經由另外的介面轉送出去。 Netfilter 就是在封包進入以及轉出主機中的路徑上,加上一些掛載點(Hook)並使用封包所屬的table來決定如何處置封包。 掛載點(Hook)、表格(Table)

在netfilter中,定義了五個掛載點(Hook)分別是Pre-Routing、Local-in、Local-out、Forward和Post-Routing

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

當封包經過這些掛載點,就可以依照事先規定的動作來處理封包,如Accept、Drop、Queue、Return、Log、Mark、Reject、 Masquerade、Redirect等動作。

當封包由介面可接收後會先進入Pre-Routing Hook,再由Routing判斷封包是要進入本機或是要送到另依個網路中 如果是送到本機上則會進入Local-In來檢查封包 如果是要送到另依個網路則送到Forward 檢查 如果封包由本機送出則會先進入Local-out 檢查,最後如果封包要送到媒體上則會進入Post-Routing中檢查

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

Netfilter還定義了三種表格 filter、NAT、Mangle,讓使用者能夠在不同的表格中取得他所需要的功能

filter table filter table中所包含的掛載點一共有三個分別是Local-in、Forward以及Local-out DROP、REJECT、ACCEPT以及LOG

Filter LOG紀錄該封包資訊 REJECT退回該封包 ACCEPT讓封包通過 DROP丟棄封包

NAT table 在NAT table中包含三個掛載點Pre-Routing、Local-Out和Post-Routing,提供了操作NAT時所需要的全部功能。 轉譯封包位址資訊

Nat SNAT轉譯來源位址 DNAT轉譯目的位址 MASQUERADE轉譯來源位址成為 NIC 的位址 REDIRECT轉送至本機某個 Port

mangle table mangle table中所包含的掛載點Pre-Routing、Local-out,他是用來在封包標頭中增加一些資料來幫助linux kernel network sub-system來分類封包 他的動作包括TTL、TOS以及增加MARK標示封包。

Mangle TTL修改 Time To Live 資訊 MARK標記該封包 TOS設定 Type Of Service 資訊

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

如果當我分別在Pre-Routing、Post-Routing和filter上分別增加: iptables –A INPUT –p icmp –j LOG iptables –A OUTPUT –p icmp –j LOG iptables –A FORWARD –p icmp –j LOG

Pre-Routing Forward Post-Routing Routing Routing Local-in Local-out Linux Protocol Stack

心得 參數 PORT Protocol IP

iptables 指令 -N建立新的chain -X移除空的chain -P變更chain的標準規則 -L列示在chain中的規則 -F將一個chain中的規則排除掉 -Z將封包和位元組計數器歸零

-A加入一個新的規則 -I插入一個新的規則 -R置換一個規則 -D刪除一個規則 參數值前面加”!”代表”Not” -p ! TCP

清空現有的rules 刪除自訂chains 設定預設policy iptables –F iptables –X iptables –P INPUT DROP iptables –P FORWARD DROP iptables –P OUTPUT DROP

Example 允許192.168.2.0/24能夠telnet 到140.134.4.20 #iptables –A FORWARD –s 192.168.2.0/24 –d 140.134.4.20 –p tcp --dport 23 –j ACCEPT #iptables –A FORWARD –s 140.134.4.20 –d 192.168.2.0/24 –p tcp --sport 23 –j ACCEPT

192.168.2.200上逢甲BBS轉到210.64.125.5 #iptables –t nat –A PREROUTING –s 192.168.2.200 –d 140.134.4.5 –p tcp --dport 23 –j DNAT --to-destination 210.64.125.5

指令順序的問題

netfilter處理判斷順序 Tables  Chains  Rules  Policy