Forskning om netsikkerhed analyse, firewall (firewall) blev ofte fremhævet fokus i grundlæggende funktioner, der filtreres og kan blokere et lokalt netværk eller netværket del og Internet dataoverførsel mellem (data pakke). Er i virkeligheden en del af pakkedata, som også omfatter brugt til at sende dem til deres bestemmelsessted af de nødvendige oplysninger.
Du kan tænke på en pakke af datapakker: datapakker i pakkedata sig selv, mens de kuverter alle er brugt til at sende oplysningerne til højre maskiner og de korrekte procedurer til brevet stige, er det også indeholder også en oplysninger om returadresse. Arbejde i deres specifikke filtrering proces, vil firewall'en overtage før intern adgang fra netværket få adgang til internettet og interne netværk fra internettet ruteindstillinger.
Vores indtryk er, at den tidligere firewall har til formål at bortfiltrere ulovlige pakker, eller Weishi Me One One type kaldes pakkefiltrering Xingfanghuoqiang det? Udvikling til stede, er dens funktion stigende, ikke kun til at filtrere datapakker, Network Address Translation kan gøres for agenter mv. Linux kernel 2,4 firewall gennemførelsen Netfilter er sådan.
Lad os se på placeringen af firewall, min forståelse er, at det enten er en maskine installeret i en personlig firewall, eller installeret i en maskine til et lokalt netværk giver gateway funktionalitet, så sådan situation er vist nedenfor :
Pair diagram sammenfatter Netfilter er installeret i porten af rammen struktur, kan ses af figuren en pakke kan gå gennem den sti, som bruger [] forlænges med op mod øst, kendt som Check Point, hvor datapakker ankommer til punkt, bør vi stoppe op og nogle kontroller. Her navnet på den checkpoint bruges i navnet på den iptables, der er specifikke for Netfilter kan komme med den såkaldte krog (Hook) funktion.
Netfilter opsummere den har følgende tre grundlæggende funktioner:
1, data filtrering (filter tabel)
2, Network Address Translation (NAT tabel)
3, datapakke forarbejdning (mangle tabellen)
Ifølge disse tre funktioner, de ovenfor beskrevne check points blev klassificeret efter funktion. Da hver funktion svarer til en tabel i Netfilter i, og hver kontrol tidspunkt er der en række kongruensreglerne, disse regler udgør en kæde, så der er følgende erklæring: "netfilter er beholderen bordet, bordet er en kæde container, kæde reglen om container "
En kæde (kæde) er i virkeligheden en række regler (regler) i en checkliste (checkliste). Hver kæde kan have én eller flere regler, som defineres ved en regel som denne, "Hvis header overensstemmelse med disse betingelser, så behandlingen af pakken." Når en datapakke at nå frem til en kæde, vil systemet starte fra første regel kontrollerer at se, om Tiaojian defineret af reglen: hvis systemet vil blive fastlagt i henhold til reglerne, der behandlede den datapakke, hvis ikke tilfreds fortsatte med at kontrollere den næste regel. Endelig, hvis pakken ikke opfylder nogen af kæden reglen, vil systemet på forhånd fastlægges i henhold til kædens strategi (politik) til at håndtere pakken.
Og en iptables kommando, som dybest set består af følgende fem dele: ønsker at arbejde i hvilken form, som håber at kunne bruge tabellen kæden, som er foretaget operationen (indsæt, tilføje, slette, ændre), målene for den specifikke regler match pakken bevægelser og betingelser .
Grundlæggende syntaks: iptables-t table-Operation kæde-j mål match (r) (systemets standard tabellen for "filter")
Grundlæggende Operationen foregår således:
-A hale til at tilføje en regel i kæden
-Jeg indsætte reglen
-D slette reglen
-R substitution reglen
-L lister reglerne
Grundlæggende mål handling, som gælder for alle links:
ACCEPT pakken modtaget
Kassér pakke DROP
QUEUE kø pakken til bruger rummet
RETURN for at vende tilbage til den foregående opkald Chain
foobar bruger-defineret kæde
Grundlæggende matchende betingelse, som gælder for alle links:
-P specificere (TCP / icmp / udp /...)
-S source adresse (ip-adresse / masklen)
-D destination adresse (ip-adresse / masklen)
-I pakke input interface
-O pakke input-/outputgrænseflade
Extended matchende betingelser:
TCP ----- matchende kilde havn, destination port, og tcp enhver kombination af tag, tcp muligheder.
UPD ----- match kilden havn og destination port
Match ICMP Type ICMP ----
MAC ----- modtage data matchende mac adresse
MARK ---- match nfmark
OWNE ---- (gælder kun lokalt genererede pakker) til at matche bruger-id, gruppe ID, proces-id og Session ID
LIMIT --- pakker matcher et bestemt tidsrum begrænsninger. Denne udvidelse matcher datastrømmen for begrænsningen er meget nyttigt dos angreb.
STATE --- matche bestemt tilstand af pakkerne (tilslutning tracking delsystem fastlægges af staten), mulige tilstande omfatter:
INVALID (matchede ikke nogen forbindelse)
NEDSAT (tilhører et link er blevet etableret pakker)
NEW (forbindelsen datapakken)
TILHØRENDE (og en allerede etableret forbindelse med visse beslægtede datapakker, såsom en ICMP fejlmeddelelse eller ftp data-forbindelse)
TOS - matche IP header TOS feltværdi.