防火牆軟體linux架構

A. 在linux 下如何設置iptables 防火牆

Linux系統內核內建了netfilter防火牆機制。Netfilter（數據包過濾機制），所謂的數據包過濾，就是分析進入主機的網路數據包，將數據包的頭部數據提取出來進行分析，以決該連接為放行或阻擋的機制。Netfilter提供了iptables這個程序來作為防火牆數據包過濾的命令。Netfilter是內建的，效率非常高。
我們可以通過iptables命令來設置netfilter的過濾機制。
iptables里有3張表：
> Filter（過濾器），進入Linux本機的數據包有關，是默認的表。
> NAT（地址轉換），與Linux本機無關，主要與Linux主機後的區域網內計算機相關。
> Mangle（破壞者），這個表格主要是與特殊的數據包的路由標志有關（通常不用涉及到這個表的修改，對這個表的修改破壞性很大，慎改之）。
每張表裡都還有多條鏈：

Filter：INPUT, OUTPUT, FORWARD
NAT：PREROUTING, POSTROUTING, OUTPUT
Mangle：PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table：3張表中的其中一種filter, nat, mangle，如果沒有指定，默認是filter。
CMD：操作命令。查看、添加、替換、刪除等。
chain：鏈。指定是對表中的哪條鏈進行操作，如filter表中的INPUT鏈。
CRETIRIA：匹配模式。對要過濾的數據包進行描述
ACTION：操作。接受、拒絕、丟棄等。
查看

格式：iptables [-t table] -L [-nv]
修改

添加
格式：iptables [-t table] -A chain CRETIRIA -j ACTION
將新規則加入到表table（默認filter）的chain鏈的最後位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION
將新規則插入到table表（默認filter）chain鏈的pos位置。原來之後的規則都往後推一位。pos的有效范圍為：1 ~ num+1
替換

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新規則替換table表（默認filter）chain鏈的pos位置的規則。pos的有效范圍為：1 ~ num
刪除

格式：iptables [-t table] -D chain pos
刪除table表（默認filter）chain鏈的pos位置的規則。pos的有效范圍為：1 ~ num
包匹配（CRETIRIA）

上面沒有介紹CRETIRIA的規則，在這小節里詳細介紹。包匹配就是用於描述需要過濾的數據包包頭特殊的欄位。
指定網口：

-i ：數據包所進入的那個網路介面，例如 eth0、lo等，需與INPUT鏈配合
-o: 數據包所傳出的那麼網路介面，需與OUTPUT鏈配合
指定協議：

-p：tcp, udp, icmp或all
指定IP網路：
-s：來源網路。可以是IP或網路
IP： 192.168.0.100
網路： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d：目標網格。同 -s
指定埠：
--sport：指定來源埠。可以是單個埠，還可以是連續的埠，例如：1024:65535。
--dport：指定目標埠。同--sport
注意：要指定了tcp或udp協議才會有效。
指定MAC地址：
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定狀態：
-m state --state STATUS
STATUS可以是：
> INVALID，無效包
> ESTABLISHED，已經連接成功的連接狀態
> NEW，想要新立連接的數據包
> RELATED，這個數據包與主機發送出去的數據包有關，（最常用）
例如：只要已建立連接或與已發出請求相關的數據包就予以通過，不合法數據包就丟棄
-m state --state RELATED,ESTABLISHED
ICMP數據比對

ping操作發送的是ICMP包，如果不想被ping到，就可以拒絕。
--icmp-type TYPE
TYPE如下：
8 echo-request（請求）
0 echo-reply（響應）

注意：需要與 -p icmp 配合使用。

操作（ACTION）

DROP，丟棄
ACCEPT，接受
REJECT，拒絕
LOG，跟蹤記錄，將訪問記錄寫入 /var/log/messages

保存配置

將新設置的規則保存到文件
格式：iptables-save [-t table]
將當前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]
-F ：請除所有的已制訂的規則
-X ：除掉所有用戶「自定義」的chain
-Z ：將所有的統計值清0

B. 如何配置linux下的防火牆

一、Linux下開啟/關閉防火牆命令
1、永久性生效，重啟後不會復原。
開啟：
chkconfig
iptables
on
關閉：
chkconfig
iptables
off
2、
即時生效，重啟後復原
開啟：
service
iptables
start
關閉：
service
iptables
stop
需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。
在當開啟了防火牆時，做如下設置，開啟相關埠，
修改/etc/sysconfig/iptables
文件，添加以下內容：
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
80
-j
ACCEPT
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
22
-j
ACCEPT
二、UBuntu關閉防火牆
iptables
-A
INPUT
-i
!
PPP0
-j
ACCEPT
三、CentOS
Linux
防火牆配置及關閉
執行」setup」命令啟動文字模式配置實用程序,在」選擇一種工具」中選擇」防火牆配置」,然後選擇」運行工具」按鈕,出現防火牆配置界面,將」安全級別」設為」禁用」,然後選擇」確定」即可.
或者用命令:
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
80
-j
ACCEPT
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
22
-j
ACCEPT
#/etc/rc.d/init.d/iptables
save
這樣重啟計算機後,防火牆默認已經開放了80和22埠
這里應該也可以不重啟計算機：
#/etc/init.d/iptables
restart
關閉防火牆服務即可：
查看防火牆信息：
#/etc/init.d/iptables
status
關閉防火牆服務：
#/etc/init.d/iptables
stop

C. 基於Linux伺服器的免費軟體防火牆都有哪些

什麼都沒有洞差褲默認慶檔的iptables好用吧, iptables提供了強大納簡的規則適配，被良好的應用於企業環境

D. 在linux中 如何搭建應用層防火牆

1、在一台抄Linux主機上安裝2塊網卡襲ech0和ech1，給ech0網卡分配一個內部網的私有地址191.168.100.0，用來與Intranet相連;給ech1網卡分配一個公共網路地址202.101.2.25，用來與Internet相連。 2、Linux主機上設置進入、轉發、外出和用戶自定義鏈。本文採用先允許所有信息可流入和流出，還允許轉發包，但禁止一些危險包，如IP欺騙包、廣播包和ICMP服務類型攻擊包等的設置策略。具體設置如下：(1)刷新所有規則(2)設置初始規則(3)設置本地環路規則本地進程之間的包允許通過。(4)禁止IP欺騙(5)禁止廣播包(6)設置ech0轉發規則(7)設置ech1轉發規則將規則保存到/etc/rc.firewallrules文件中，用chmod賦予該文件執行許可權，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，這樣當系統啟動時，這些規則就生效了,防火牆也就建好了！

E. 本人新手，給一些關於linux防火牆的概念，謝謝了。

以下引用自鳥哥：
基本上，如果你的系統 (1)已經關閉不需要而且危險的服務； (2)已經將整個系統的所有套件都保持在最新的狀態； (3)許可權設定妥當且定時進行備份工作； (4)已經教育使用者具有良好的網路、系統操作習慣。 那麼你的系統實際上已經頗為安全了！要不要架設防火牆？那就見仁見智羅！

不過，畢竟網路的世界是很復雜的，而 Linux 主機也不是一個簡單的東西， 說不定哪一天你在進行某個軟體的測試時，主機突然間就啟動了一個網路服務， 如果你沒有管制該服務的使用范圍，那麼該服務就等於對所有 Internet 開放李碼模， 那就麻煩了！因為該服務可能可以允許任何人登入你的系統，那不是挺危險？

所以羅，防火牆能作什麼呢？防火牆最大的功能就是幫助你模陪『限制某些服務的存取來源』！ 舉例來說： (1)你可以限制檔案傳輸服務 (FTP) 只在子網域內的主機才能夠使用，而不對整個 Internet 開放； (2)你可以限制整部 Linux 主機僅可以接受客戶端的 WWW 要求，其他的服務都關閉； (3)你還可以限哪緩制整部主機僅能主動對外連線，對我們主機主動連線的封包狀態 (TCP 封包的 SYN flag) 就予以抵擋等等。 這些就是最主要的防火牆功能了！

所以鳥哥認為，防火牆最重要的任務就是在規劃出：

切割被信任(如子網域)與不被信任(如 Internet)的網段；
劃分出可提供 Internet 的服務與必須受保護的服務；
分析出可接受與不可接受的封包狀態；

F. 在linux下做防火牆

你好，

禁止ping，也就是禁止ICMP協議，可以這么寫：

iptables -I INPUT -p icmp -j DROP

如果昌睜散有報錯，請你給出你敲耐氏命令以及報錯的截圖早察。

G. 什麼是redhatlinux自帶的防火牆軟體

iptables。防火牆指是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，iptables是redhatlinux自帶的防火牆軟體，是默認的防火牆配置管雹神悄理工具。redhatlinux是一家開源瞎州解決方案供應商，也是標准普爾500指數成員源渣。

H. linux防火牆軟體

用系統自帶的iptables不是完全可以嗎？在圖形界面里可以在菜單里也可以看到有圖形界面的配置工具滲鏈梁的，看到寫著firewall的就是喚鋒了。字元界面里setup一下選firewall也可以配置，不過還是命令行的叢運功能比較強大。

I. 急求一份LINUX下的防火牆設計的論文

防火牆(Firewall)是在一個可信的網路和不可信的網路之間建立安全屏障的軟體或硬體產品。Linux操作系統內核具有包過濾能力，系統管理員通過管理工具設置一組規則即可建立一個基於Linux的防火牆，用這組規則過濾被主機接收、發送的包或主機從一個網卡轉發到另一個網卡的包，用一台閑置的PC就可以替代昂貴的專門防火牆硬體，對於某些中小企業或部門級用戶，很值得參考。

一、防火牆的類型和設計策略

在構造防火牆時，常採用兩種方式，包過濾和應用代理服務。包過濾是指建立包過濾規則，根據這些規則及IP包頭的信息，在網路層判定允許或拒絕包的通過。如允許或禁止FTP的使用，但不能禁止FTP特定的功能（例如Get和Put的使用）。應用代理服務是由位於內部網和外部網之間的代理伺服器完成的，它工作在應用層，代理用戶進、出網的各種服務請求，如FTP和Telenet等。

目前，防火牆一般採用雙宿主機（Dual-homedFirewall）、屏蔽主機(ScreenedHostFirewall)和屏蔽子網(ScreenedSubnetFirewall)等結構。雙宿慧備主機結構是指承擔代理服務任務的計算機至少有2個網路介面連接到內部網和外部網之間。屏蔽主機結構是指承擔代理服務任務的計算機僅僅與內部網的主機相連。屏蔽子網結構是把額外的安全層添加到屏蔽主機的結構中，即添加了周邊網路，進一步把內部網和外部網隔開。

防火牆規則用來定義哪些數據包或服務允許/拒絕通過，主要有2種策略。一種是先允許任何接入，然後指明拒絕的項;另一種是先拒絕任何接入，然後指明允許的項。一般地，我們會採用第2種策略。因為從邏輯的觀點看，在防火牆中指定一個較小的規則列表允許通過防火牆，比指定一個較大的列表不允許通過防火牆更容易實現。從Internet的發展來看，新的協議和服務不斷出現，在允許這些協議和服務通過防火牆之前，有時間審查安全漏洞。

二、基於Linux操作系統防火牆的實現

基於Linux操作系統的防前賀毀火牆是利用其內核具有的包過濾能力建立的包過濾防火牆和包過濾與代理服務組成的復合型防火牆。下面，讓我們來看看怎樣配置一個雙宿主機的基於Linux的防火牆。

由於Linux的內核各有不同拍嫌，提供的包過濾的設置辦法也不一樣。IpFwadm是基於Unix中的ipfw，它只適用於Linux2.0.36以前的內核；對於Linux2.2以後的版本，使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它們配置的4個鏈中，有3個在Linux內核啟動時進行定義，分別是：進入鏈（InputChains）、外出鏈（OutputChains）和轉發鏈（ForwardChains），另外還有一個用戶自定義的鏈（UserDefinedChains）。進入鏈定義了流入包的過濾規則，外出鏈定義了流出包的過濾規則，轉發鏈定義了轉發包的過濾規則。

這些鏈決定怎樣處理進入和外出的IP包，即當一個包從網卡上進來的時候，內核用進入鏈的規則決定了這個包的流向;如果允許通過，內核決定這個包下一步發往何處，如果是發往另一台機器，內核用轉發鏈的規則決定了這個包的流向;當一個包發送出去之前，內核用外出鏈的規則決定了這個包的流向。某個特定的鏈中的每條規則都是用來判定IP包的，如果這個包與第一條規則不匹配，則接著檢查下一條規則，當找到一條匹配的規則後，規則指定包的目標，目標可能是用戶定義的鏈或者是Accept、Deny、Reject、Return、Masq和Redirect等。

其中，Accept指允許通過;Deny指拒絕;Reject指把收到的包丟棄，但給發送者產生一個ICMP回復；Return指停止規則處理，跳到鏈尾；Masq指對用戶定義鏈和外出鏈起作用，使內核偽裝此包;Redirect只對進入鏈和用戶定義鏈起作用，使內核把此包改送到本地埠。為了讓Masq和Redirect起作用，在編譯內核時，我們可以分別選擇Config_IP_Masquerading和Config_IP_Transparent_Proxy。

假設有一個區域網要連接到Internet上，公共網路地址為202.101.2.25。內部網的私有地址根據RFC1597中的規定，採用C類地址192.168.0.0～192.168.255.0。為了說明方便，我們以3台計算機為例。實際上，最多可擴充到254台計算機。

具體操作步驟如下：

1、在一台Linux主機上安裝2塊網卡ech0和ech1，給ech0網卡分配一個內部網的私有地址191.168.100.0，用來與Intranet相連;給ech1網卡分配一個公共網路地址202.101.2.25，用來與Internet相連。

2、Linux主機上設置進入、轉發、外出和用戶自定義鏈。本文採用先允許所有信息可流入和流出，還允許轉發包，但禁止一些危險包，如IP欺騙包、廣播包和ICMP服務類型攻擊包等的設置策略。 具體設置如下：

(1)刷新所有規則
Iptables -F #刷新規則（默認鏈）
Iptables -X #刪除規則（自定義的鏈）
(2)設置初始規則
Iptables -P INPUT ACCEPT
Iptables -P OUTPUT ACCEPT
Iptables -p FORWARD ACCEPT
(3)設置本地環路規則 本地進程之間的包允許通過。
Iptables -A INPUT -i lo -j ACCEPT
Iptables -A OUTPUT -o lo -j ACCEPT
(4)禁止IP欺騙
Iptables -A INPUT -i eth1 -s 127.0.0.1/8 -j DROP
Iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
Iptables -A INPUT -i eth1 -s 240.0.0.0/3
Iptables -A INPUT -i eth1 -s 0.0.0.0/8
(5)禁止廣播包
Iptables -A INPUT -p UDP -s 255.255.255.255 -d 本機IP地址 -j DROP

(6)設置ech1轉發規則
Iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 --to-source 本機地址 -j SNAT
Iptables -t nat -A PREROUTING -i eth1 -d 本機地址 --to-destinations 192.168.0.0/16 -j DNAT
將規則保存到/etc/rc.firewallrules文件中，用chmod賦予該文件執行許可權，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，這樣當系統啟動時，這些規則就生效了。
service iptables stop
chkconfig iptables off

J. 如何配置linux下的防火牆

1、首先需要在Linux系統中查找並打開文件以編輯和配置防火牆，執行命令： vi /etc/sysconfig/iptables。

(10)防火牆軟體linux架構擴展閱讀：

查看防火牆規則是否生效：

[root@localhost bin]# iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80