Forschung auf die Analyse von Netzwerk-, Firewall (Firewall) sind oft im Vordergrund, die grundlegende Funktion ist es Filter und kann im lokalen Netzwerk zu sperren oder einen bestimmten Teil der Netzwerk-und Internet-Daten-Transfer zwischen den (Datenpaket). Ist in der Tat ein Teil der Paketdaten, die auch verwendet werden, um sie zu ihrem Ziel senden, indem die erforderlichen Informationen.
Sie können ein Paket von Datenpaketen denken: Datenpakete in Paketdaten selbst, während die Umschläge werden verwendet, um alle diese Informationen an die richtigen Maschinen zu senden und die richtigen Verfahren zu dem Schreiben der Aufstieg, sondern auch enthält auch eine Informationen über die Absender-Adresse. Arbeit in ihren spezifischen Filter-Prozess, wird die Firewall übernehmen, bevor internen Zugriff aus dem Netzwerk auf das Internet zugreifen und interne Netzwerk vom Internet Routing-Einstellungen.
Unser Eindruck ist, dass die bisherige Firewall auf einige illegale Pakete, oder warum der einer bekannten Art wie Packet Filtering Firewall mit ihm? Entwicklung bis zur Gegenwart Filter entwickelt, wird seine Funktion erhöht nicht nur Datenpakete filtern, Network Address Translation kann für Agenten gemacht werden, etc.. Linux Kernel 2.4 Firewall Netfilter Umsetzung ist wie dieses.
Schauen wir uns den Standort der Firewall, ist mein Verständnis, dass es entweder eine Maschine in eine persönliche Firewall installiert oder eingebaut in einen Rechner mit einem lokalen Netzwerk zu Gateway-Funktionen bieten wird, und dann solche Situation ist unten dargestellt :
Pair-Diagramm fasst die Netfilter in das Tor der Rahmenstruktur installiert ist, können aus der Figur ersichtlich ist ein Paket kann über den Weg, die [] verwenden go erweitert den Osten, wie der Check Point, wenn Datenpakete bei der Ankunft bekannt Punkt sollten wir innehalten und einige Prüfungen. Hier wird der Name des Checkpoints wird im Namen der iptables verwendet, der spezifisch auf die Netfilter kann mit der sogenannten Hook (Hook) Funktion kommen.
Netfilter Zusammenfassend hat es die folgenden drei Grundfunktionen:
1, Filtern von Daten (Filter-Tabelle)
2, Network Address Translation (NAT-Tabelle)
3, Datenpaket-Verarbeitung (mangle-Tabelle)
Nach diesen drei Funktionen, die die fünf genannten Check-Punkte wurden nach ihrer Funktion geordnet. Da jede Funktion entspricht einer Tabelle in Netfilter in, und jeder Check Point gibt es eine Reihe von Matching-Regeln, diese Regeln eine Kette bilden, so gibt es folgende Erklärung ab: "Netfilter ist der Container-Tabelle ist die Tabelle eine Kette Container, Kette die Herrschaft der Container "
Eine Kette (Chain) ist in der Tat eine Reihe von Regeln (Regeln) in einer Checkliste (Checkliste). Jede Kette kann eine oder mehrere Regeln, die jeweils durch eine Regel wie diese definiert haben: "Wenn die Kopfzeile mit diesen Bedingungen, so die Verarbeitung des Pakets." Wenn ein Paket an der Kette kommt, wird das System von der ersten Regel prüft starten um zu sehen, wenn sie die Bedingungen nach den Regeln definiert: Wenn das System im Einklang mit Regel Ansatz, um das Paket definiert werden erfüllt, wenn nicht zufrieden weiter zur nächsten Regel zu überprüfen. Schließlich, wenn das Paket nicht erfüllt keiner der Kette der Regel wird das System vordefinierte nach der Kette der Strategie (Policy), um das Paket zu behandeln.
Und ein iptables-Kommando, das im Wesentlichen aus den folgenden fünf Teilen: wollen, in welcher Form arbeiten möchten, auf die Tabelle, auf die Ketten, die für den Betrieb (Einfügen, Hinzufügen, Löschen, Ändern), die Regel ist target-spezifischen Aktionen und Bedingungen des Datenpakets Match .
Basic-Syntax: iptables-t Tisch-Operation-j-Kette Target Match (es) (das System Default-Tabelle für die "Filter")
Grundlegende Bedienung ist wie folgt:
-A-Schwanzes an eine Regel in der Kette hinzufügen
-I Legen Sie die Regel
D-Regel löschen
-R Substitutionsregel
-L sind die Regeln
Grundlegende Zielsetzung Aktion, die alle diese Links gilt:
ACCEPT das Paket empfangen
Entsorgen Sie das Paket verworfen
QUEUE Warteschlange das Paket den User-Space
RETURN, um zur vorherigen Anruf zurückzukehren Chain
foobar benutzerdefinierten Kette
Basic passender Bedingung, die alle diese Links gilt:
-P angeben Protocol (TCP / ICMP / UDP /...)
S-Quelle (IP-Adresse / masklen)
D-Zieladresse (IP-Adresse / masklen)
I-Packet-Input-Schnittstelle
O-Packet-Interface-Ausgang
Erweiterte Matching Bedingungen:
----- Passende TCP Quellport, Zielport und TCP beliebige Kombination von tag, TCP-Optionen.
UPD ----- entsprechen den Source Port und Destination Port
Match ICMP ICMP Type ----
MAC ----- Daten empfangen passender MAC-Adresse
MARK ---- Match nfmark
OWNE ---- (gilt nur für lokal erzeugte Pakete) an die Benutzer-ID, Gruppen-ID, Match-Prozess-ID und Session ID
LIMIT --- Passende Pakete einer bestimmten Zeit Zwänge. Diese Erweiterung entspricht dem Datenfluss für die Beschränkung ist sehr nützlich, vor DoS-Angriffen.
STATE --- entsprechen dem jeweiligen Stand der Pakete (Connection Tracking-Subsystem durch den Staat bestimmt), gehören zu möglichen Zustände:
Ungültig (leider keine Verbindung)
Festgelegt (Zugehörigkeit zu einem Link wurde gegründet Pakete)
NEW (die Verbindung Datenpaket)
Damit verbundenen (und eine bereits bestehende Verbindung mit bestimmten Daten-Pakete, wie eine ICMP Fehlermeldung oder FTP-Datenverbindung)
TOS - mit der IP-Header TOS Feld Wert.