Forskning om analys av nätverkssäkerhet, brandvägg (Firewall) är ofta tyngdpunkten, den viktigaste funktion är att filtrera och blockera det lokala nätverket eller en viss del av nätverk och data Internet transfer mellan (datapaket). Är i själva verket en del av paketdata, som även omfattar används för att skicka dem till sin destination den begärda informationen.
Du kan tänka på ett paket datapaket: datapaket i paketdata sig, medan kuverten är alla används för att skicka denna information till rätt maskiner och vägledning till punkt och pricka ökar, även innehåller också en information om returadress. Arbete i deras specifika filtreringen process kommer brandväggen ta över innan intern åtkomst från nätverket åtkomst till Internet och interna nätverk från Internet routning inställningar.
Vårt intryck är att de tidigare brandväggen avsedda att filtrera vissa olagliga paket, eller varför en av en typ som kallas paketfiltrerande brandvägg med den? Utveckling till nutid, är dess funktion ökar, inte bara för att filtrera data paket, Network Address Translation kan göras för agenter osv. Linux-kärnan 2,4 brandvägg genomförandet Netfilter är så här.
Låt oss titta på platsen för brandväggen, är min uppfattning att antingen är det en maskin installerad i en personlig brandvägg eller installerad i en maskin till ett lokalt nätverk för att ge Gateway-funktioner, och sedan en sådan situation framgår nedan :
Koppla ihop diagram sammanfattar Netfilter installeras i porten till ramkonstruktion, kan ses från den siffra ett paket kan gå igenom den väg, som använder [] förlängas öster, känd som Check Point, när datapaket anländer till punkt bör vi stanna upp och några kontroller. Här namnet på den kontrollpunkt används i namnet på iptables, som är specifika för Netfilter kan komma med den så kallade krok (Hook) funktion.
Netfilter Sammanfattningsvis har följande tre grundläggande funktioner:
1, data filtrera (filter tabell)
2, Network Address Translation (NAT tabellen)
3, datapaket bearbetning (mangel tabell)
Enligt dessa tre funktioner, dessa fem kontrollpunkter hade klassificerats av funktion. Eftersom varje funktion motsvarar en tabell i Netfilter i, och varje kontroll, punkt finns det ett antal matchande regler, dessa regler utgör en kedja, så det finns följande uttalande: "Netfilter är behållaren tabellen, är tabellen en kedja container, kedja regeln om behållaren "
En kedja (kedja) är i själva verket ett antal regler (regler) i en checklista (checklista). Varje kedja kan ha en eller flera regler, var och definieras av en regel så här, "Om rubrikraden med dessa villkor, så behandlingen av paketet." När ett paket anländer i en kedja, kommer systemet att starta från den första regeln kontroller för att se om den uppfyller de villkor som anges i reglerna: Om systemet kommer att bygga på de metoder som definieras i regel behandla uppgifterna paket, om inte nöjd fortsatt att kontrollera nästa regel. Slutligen, om paketet inte uppfyller något av kedjeregeln, kommer systemet att fördefinierade enligt kedjans strategi (policy) för att hantera paket.
Och ett iptables kommando som i princip består av följande fem delar: vill arbeta i vilken form, som hoppas kunna använda tabellen kedjan, utfört operationer (fyll i, lägga till, ta bort, ändra), att de särskilda bestämmelserna i målet datapaketet matchar villkoren för åtgärder och .
Grundläggande syntax: iptables-t bord-Operation chain-j mål match (er) (systemet standard tabellen för "filter")
Grundläggande hantering är följande:
-En svans för att lägga till en regel i kedjan
-Jag sätter regeln
-D ta bort regeln
-R substitution regel
-L listor reglerna
Grundläggande mål åtgärden, som gäller för alla länkar:
Acceptera paket mottagna
Kasta påsen DROP
QUEUE kö paketet till användaren rymden
RETURN för att återgå till föregående samtal Chain
foobar användardefinierade kedja
Grundläggande matchande villkor som gäller för alla länkar:
-P specificera Protocol (TCP / ICMP / /...) udp
-S source adress (IP-adress / masklen)
-D destination adress (IP-adress / masklen)
-I paketet input-gränssnittet
-O paket utgång gränssnitt
Utökad matchning villkor:
TCP ----- matchande källport, destination port och tcp en kombination av taggen, tcp alternativ.
UPD ----- matchar källport och destinationshamnen
Match ICMP typ ICMP ----
MAC ----- emot data matchande MAC-adress
MARK ---- match nfmark
OWNE ---- (gäller endast lokalt genererade paketen) för att matcha användar-ID, grupp-ID, process-id och sessions-ID
LIMIT --- paket som matchar en viss tid begränsningar. Denna expansion matchar dataflödet till begränsningen är mycket nyttig dos attack.
STATE --- matcha visst tillstånd i paket (anslutning spårning delsystem fastställs av staten), eventuella "omfattar:
Ogiltig (matchar inte något samband)
Fastställts (som tillhör ett samband har fastställts paket)
NY (anslutningen datapaketet)
RELATERADE (och ett redan etablerat samband med vissa närstående datapaket, t.ex. ett ICMP felmeddelande eller data ftp-anslutning)
TOS - matchar IP-huvudet TOS fältvärdet.