摘要 本文介紹了LINUX下常用的防火牆規則配置軟體Ipchains;從實現原理、配置方法以及功能特點的角度描述了LINUX防火牆的三種功能;並給出了一個LINUX防火牆例項作為參考。
關鍵字 LINUX防火牆 ipchains 包過濾 代理 IP偽裝
1 前言
防火牆作為網路安全措施中的一個重要組成部分,一直受到人們的普遍關注。LINUX是這幾年一款異軍突起的作業系統,以其公開的原始碼、強大穩定的網路功能和大量的免費資源受到業界的普遍讚揚。LINUX防火牆其實是作業系統本身所自帶的一個功能模組。通過安裝特定的'防火牆核心,LINUX作業系統會對接收到的資料包按一定的策略進行處理。而使用者所要做的,就是使用特定的配置軟體(如ipchains)去定製適合自己的“資料包處理策略”。
2 LINUX防火牆配置軟體—Ipchains
Ipchains是LINUX 2.1及其以上版本中所帶的一個防火牆規則管理程式。使用者可以使用
它來建立、編輯、刪除系統的防火牆規則。但通常,需要自己建立一個防火牆規則指令碼 /etc/rc.d/wall,並使系統啟動時自動執行這個指令碼。
一個LINUX防火牆系統的安全機制是通過Input、Output、Forward這三個“防火鏈”來實現的。而使用者正是使用ipchains在這三個“鏈”上分別建立一套“防火規則”,來完成對到來資料包層層限制的目的,其組織結構如圖1所示。
其中,每個鏈都包括一組由使用者建立的過濾規則,資料包依次到達每個鏈,並比較其中的每條規則,直到找出匹配規則並執行相應策略(如通過、拒絕等),否則執行預設策略。實際中,資料包在到達Input鏈之前還要進行測試和正常性檢查,在到路由表之前還要被判斷是否被偽裝,這些,在本圖中都被省略了。
Ipchains 經常使用的命令列格式如下:
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
對各選項的說明如下表:
-A