防火墻、入侵偵測整合系統(tǒng)

1、iptables,指導(dǎo)老師：溫翔安組員：溫允中4970E011 李雅俐4970E025 蕭積遠(yuǎn)4970E026 陳欣暉4970E086,iptables,iptables 是利用封包過濾的機(jī)制， 所以他會分析封包的表頭資料。根據(jù)表頭資料與定義的『規(guī)則』來決定該封包是否可以進(jìn)入主機(jī)或者是被丟棄。 意思就是說：『根據(jù)封包的分析資料 "比對&quo

2、t; 你預(yù)先定義的規(guī)則， 若封包資料與規(guī)則內(nèi)容相同則進(jìn)行動作，否則就繼續(xù)下一條規(guī)則的比對！』,,當(dāng)一個網(wǎng)路封包要進(jìn)入到主機(jī)之前，會先經(jīng)由 NetFilter 進(jìn)行檢查，那就是 iptables 的規(guī)則了。 圖中主要的目的在告知你：『規(guī)則是有順序的』！例如當(dāng)網(wǎng)路封包進(jìn)入 Rule 1 的比對時， 如果比對結(jié)果符合 Rule 1 ，此時這個網(wǎng)路封包就會進(jìn)行 Action 1 的動作，而不會理會後續(xù)的 Rule 2, Rule 3.... 等

3、規(guī)則的分析了。,,,,而如果這個封包並不符合 Rule 1 的比對，那就會進(jìn)入 Rule 2 的比對了！如此一個一個規(guī)則去進(jìn)行比對就是了。 那如果所有的規(guī)則都不符合怎辦？此時就會透過預(yù)設(shè)動作 (封包政策, Policy) 來決定這個封包的去向。 所以啦，當(dāng)你的規(guī)則順序排列錯誤時，就會產(chǎn)生很嚴(yán)重的錯誤了。,,假設(shè)你的 Linux 主機(jī)提供了 WWW 的服務(wù)，那麼自然就要針對 port 80 來啟用通過的封包規(guī)則，但是你發(fā)現(xiàn) IP 來源為

4、192.168.100.100 老是惡意的嘗試入侵你的系統(tǒng)，所以你想要將該 IP 拒絕往來，最後，所有的非 WWW 的封包都給他丟棄，就這三個規(guī)則來說，你要如何設(shè)定防火牆檢驗順序呢？Rule 1 先抵擋 192.168.100.100 ；Rule 2 再讓要求 WWW 服務(wù)的封包通過；Rule 3 將所有的封包丟棄。,,這樣的排列順序就能符合你的需求，不過，萬一你的順序排錯了，變成：Rule 1 先讓要求 WWW 服務(wù)的封包通過

5、；Rule 2 再抵擋 192.168.100.100 ；Rule 3 將所有的封包丟棄。此時，那個 192.168.100.100 『可以使用你的 WWW 服務(wù)』喔！只要他對你的主機(jī)送出 WWW 要求封包，就可以使用你的 WWW 功能了，因為你的規(guī)則順序定義第一條就會讓他通過，而不去考慮第二條規(guī)則！,,Linux 的 iptables 至少就有三個表格，包括管理本機(jī)進(jìn)出的 filter 、管理後端主機(jī)的 nat 、管理特殊旗標(biāo)使

6、用的 mangle 。filter (過濾器)：主要跟進(jìn)入 Linux 本機(jī)的封包有關(guān)，這個是預(yù)設(shè)的 table 喔！ nat (位址轉(zhuǎn)換)：是 Network Address Translation 的縮寫， 這個表格主要在進(jìn)行來源與目的之 IP 或 port 的轉(zhuǎn)換，與 Linux 本機(jī)較無關(guān)，主要與 Linux 主機(jī)後的區(qū)域網(wǎng)路內(nèi)電腦較有相關(guān)。 mangle (破壞者)：這個表格主要是與特殊的封包的路由旗標(biāo)有關(guān)。[較少用到]

7、,,封包進(jìn)入 Linux 主機(jī)使用資源 (路徑 A)： 在路由判斷後確定是向 Linux 主機(jī)要求資料的封包，主要就會透過 filter 的 INPUT 鏈來進(jìn)行控管；封包經(jīng)由 Linux 主機(jī)的轉(zhuǎn)遞，沒有使用主機(jī)資源，而是向後端主機(jī)流動 (路徑 B)： 在路由判斷之前進(jìn)行封包表頭的修訂作業(yè)後，發(fā)現(xiàn)到封包主要是要透過防火牆而去後端，此時封包就會透過路徑 B 來跑動。 也就是說，該封包的目標(biāo)並非我們的 Linux 本機(jī)。主要經(jīng)過的鏈?zhǔn)?

8、filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。 封包由 Linux 本機(jī)發(fā)送出去 (路徑 C)： 例如回應(yīng)用戶端的要求，或者是 Linux 本機(jī)主動送出的封包，都是透過路徑 C 來跑的。先是透過路由判斷， 決定了輸出的路徑後，再透過 filter 的 OUTPUT 鏈來傳送的！當(dāng)然，最終還是會經(jīng)過 nat 的 POSTROUTING 鏈。,,,iptables 語法,[root@w

9、ww ~]# iptables [-t tables] [-L] [-nv] 選項與參數(shù)： -t ：後面接 table ，例如 nat 或 filter ，若省略此項目，則使用預(yù)設(shè)的 filter -L ：列出目前的 table 的規(guī)則 -n ：不進(jìn)行 IP 與 HOSTNAME 的反查，顯示訊息的速度會快很多！ -v ：列出更多的資訊，包括通過該規(guī)則的封包總位元數(shù)、相關(guān)的網(wǎng)路介面等,,,iptables 規(guī)則順序,,,無論任何

10、來源 (0.0.0.0/0) 且要去任何目標(biāo)的封包，不論任何封包格式 (prot 為 all)，通通都接受只要是 icmp 類型為 255 號的，就予以放行只要是封包格式為 esp 的，就予以放行 (特殊功能)只要是封包格式為 ah 的，就予以放行 (特殊功能)只要是要傳送給目標(biāo)為 224.0.0.251 且為 udp 埠口 5353 的，就予以接受只要是傳給 port 631 的 udp 封包就接受只要是傳給 port 6