防火墙软件linux架构

A. 在linux 下如何设置iptables 防火墙

Linux系统内核内建了netfilter防火墙机制。Netfilter（数据包过滤机制），所谓的数据包过滤，就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的，效率非常高。
我们可以通过iptables命令来设置netfilter的过滤机制。
iptables里有3张表：
> Filter（过滤器），进入Linux本机的数据包有关，是默认的表。
> NAT（地址转换），与Linux本机无关，主要与Linux主机后的局域网内计算机相关。
> Mangle（破坏者），这个表格主要是与特殊的数据包的路由标志有关（通常不用涉及到这个表的修改，对这个表的修改破坏性很大，慎改之）。
每张表里都还有多条链：

Filter：INPUT, OUTPUT, FORWARD
NAT：PREROUTING, POSTROUTING, OUTPUT
Mangle：PREROUTING, OUTPUT, INPUT, FORWARD
iptables命令的使用
基本格式：iptables [-t table] -CMD chain CRETIRIA -j ACTION
-t table：3张表中的其中一种filter, nat, mangle，如果没有指定，默认是filter。
CMD：操作命令。查看、添加、替换、删除等。
chain：链。指定是对表中的哪条链进行操作，如filter表中的INPUT链。
CRETIRIA：匹配模式。对要过滤的数据包进行描述
ACTION：操作。接受、拒绝、丢弃等。
查看

格式：iptables [-t table] -L [-nv]
修改

添加
格式：iptables [-t table] -A chain CRETIRIA -j ACTION
将新规则加入到表table（默认filter）的chain链的最后位置

插入

格式：iptables [-t table] -I chain pos CRETIRIA -j ACTION
将新规则插入到table表（默认filter）chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为：1 ~ num+1
替换

格式：iptables [-t table] -R chain pos CRETIRIA -j ACTION
用新规则替换table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
删除

格式：iptables [-t table] -D chain pos
删除table表（默认filter）chain链的pos位置的规则。pos的有效范围为：1 ~ num
包匹配（CRETIRIA）

上面没有介绍CRETIRIA的规则，在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。
指定网口：

-i ：数据包所进入的那个网络接口，例如 eth0、lo等，需与INPUT链配合
-o: 数据包所传出的那么网络接口，需与OUTPUT链配合
指定协议：

-p：tcp, udp, icmp或all
指定IP网络：
-s：来源网络。可以是IP或网络
IP： 192.168.0.100
网络： 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
可以在前加 ! 表示取反
-d：目标网格。同 -s
指定端口：
--sport：指定来源端口。可以是单个端口，还可以是连续的端口，例如：1024:65535。
--dport：指定目标端口。同--sport
注意：要指定了tcp或udp协议才会有效。
指定MAC地址：
-m mac --mac-source aa:bb:cc:dd:ee:ff
指定状态：
-m state --state STATUS
STATUS可以是：
> INVALID，无效包
> ESTABLISHED，已经连接成功的连接状态
> NEW，想要新立连接的数据包
> RELATED，这个数据包与主机发送出去的数据包有关，（最常用）
例如：只要已建立连接或与已发出请求相关的数据包就予以通过，不合法数据包就丢弃
-m state --state RELATED,ESTABLISHED
ICMP数据比对

ping操作发送的是ICMP包，如果不想被ping到，就可以拒绝。
--icmp-type TYPE
TYPE如下：
8 echo-request（请求）
0 echo-reply（响应）

注意：需要与 -p icmp 配合使用。

操作（ACTION）

DROP，丢弃
ACCEPT，接受
REJECT，拒绝
LOG，跟踪记录，将访问记录写入 /var/log/messages

保存配置

将新设置的规则保存到文件
格式：iptables-save [-t table]
将当前的配置保存到 /etc/sysconfig/iptables

其它

格式：iptables [-t table] [-FXZ]
-F ：请除所有的已制订的规则
-X ：除掉所有用户“自定义”的chain
-Z ：将所有的统计值清0

B. 如何配置linux下的防火墙

一、Linux下开启/关闭防火墙命令
1、永久性生效，重启后不会复原。
开启：
chkconfig
iptables
on
关闭：
chkconfig
iptables
off
2、
即时生效，重启后复原
开启：
service
iptables
start
关闭：
service
iptables
stop
需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。
在当开启了防火墙时，做如下设置，开启相关端口，
修改/etc/sysconfig/iptables
文件，添加以下内容：
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
80
-j
ACCEPT
-A
RH-Firewall-1-INPUT
-m
state
--state
NEW
-m
tcp
-p
tcp
--dport
22
-j
ACCEPT
二、UBuntu关闭防火墙
iptables
-A
INPUT
-i
!
PPP0
-j
ACCEPT
三、CentOS
Linux
防火墙配置及关闭
执行”setup”命令启动文字模式配置实用程序,在”选择一种工具”中选择”防火墙配置”,然后选择”运行工具”按钮,出现防火墙配置界面,将”安全级别”设为”禁用”,然后选择”确定”即可.
或者用命令:
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
80
-j
ACCEPT
#/sbin/iptables
-I
INPUT
-p
tcp
–dport
22
-j
ACCEPT
#/etc/rc.d/init.d/iptables
save
这样重启计算机后,防火墙默认已经开放了80和22端口
这里应该也可以不重启计算机：
#/etc/init.d/iptables
restart
关闭防火墙服务即可：
查看防火墙信息：
#/etc/init.d/iptables
status
关闭防火墙服务：
#/etc/init.d/iptables
stop

C. 基于Linux服务器的免费软件防火墙都有哪些

什么都没有洞差裤默认庆档的iptables好用吧, iptables提供了强大纳简的规则适配，被良好的应用于企业环境

D. 在linux中 如何搭建应用层防火墙

1、在一台抄Linux主机上安装2块网卡袭ech0和ech1，给ech0网卡分配一个内部网的私有地址191.168.100.0，用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25，用来与Internet相连。 2、Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。具体设置如下：(1)刷新所有规则(2)设置初始规则(3)设置本地环路规则本地进程之间的包允许通过。(4)禁止IP欺骗(5)禁止广播包(6)设置ech0转发规则(7)设置ech1转发规则将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了,防火墙也就建好了！

E. 本人新手，给一些关于linux防火墙的概念，谢谢了。

以下引用自鸟哥：
基本上，如果你的系统 (1)已经关闭不需要而且危险的服务； (2)已经将整个系统的所有套件都保持在最新的状态； (3)权限设定妥当且定时进行备份工作； (4)已经教育使用者具有良好的网络、系统操作习惯。 那么你的系统实际上已经颇为安全了！要不要架设防火墙？那就见仁见智罗！

不过，毕竟网络的世界是很复杂的，而 Linux 主机也不是一个简单的东西， 说不定哪一天你在进行某个软件的测试时，主机突然间就启动了一个网络服务， 如果你没有管制该服务的使用范围，那么该服务就等于对所有 Internet 开放李码模， 那就麻烦了！因为该服务可能可以允许任何人登入你的系统，那不是挺危险？

所以罗，防火墙能作什么呢？防火墙最大的功能就是帮助你模陪『限制某些服务的存取来源』！ 举例来说： (1)你可以限制档案传输服务 (FTP) 只在子网域内的主机才能够使用，而不对整个 Internet 开放； (2)你可以限制整部 Linux 主机仅可以接受客户端的 WWW 要求，其他的服务都关闭； (3)你还可以限哪缓制整部主机仅能主动对外连线，对我们主机主动连线的封包状态 (TCP 封包的 SYN flag) 就予以抵挡等等。 这些就是最主要的防火墙功能了！

所以鸟哥认为，防火墙最重要的任务就是在规划出：

切割被信任(如子网域)与不被信任(如 Internet)的网段；
划分出可提供 Internet 的服务与必须受保护的服务；
分析出可接受与不可接受的封包状态；

F. 在linux下做防火墙

你好，

禁止ping，也就是禁止ICMP协议，可以这么写：

iptables -I INPUT -p icmp -j DROP

如果昌睁散有报错，请你给出你敲耐氏命令以及报错的截图早察。

G. 什么是redhatlinux自带的防火墙软件

iptables。防火墙指是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，iptables是redhatlinux自带的防火墙软件，是默认的防火墙配置管雹神悄理工具。redhatlinux是一家开源瞎州解决方案供应商，也是标准普尔500指数成员源渣。

H. linux防火墙软件

用系统自带的iptables不是完全可以吗？在图形界面里可以在菜单里也可以看到有图形界面的配置工具渗链梁的，看到写着firewall的就是唤锋了。字符界面里setup一下选firewall也可以配置，不过还是命令行的丛运功能比较强大。

I. 急求一份LINUX下的防火墙设计的论文

防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力，系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙，用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包，用一台闲置的PC就可以替代昂贵的专门防火墙硬件，对于某些中小企业或部门级用户，很值得参考。

一、防火墙的类型和设计策略

在构造防火墙时，常采用两种方式，包过滤和应用代理服务。包过滤是指建立包过滤规则，根据这些规则及IP包头的信息，在网络层判定允许或拒绝包的通过。如允许或禁止FTP的使用，但不能禁止FTP特定的功能（例如Get和Put的使用）。应用代理服务是由位于内部网和外部网之间的代理服务器完成的，它工作在应用层，代理用户进、出网的各种服务请求，如FTP和Telenet等。

目前，防火墙一般采用双宿主机（Dual-homedFirewall）、屏蔽主机(ScreenedHostFirewall)和屏蔽子网(ScreenedSubnetFirewall)等结构。双宿慧备主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连。屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中，即添加了周边网络，进一步把内部网和外部网隔开。

防火墙规则用来定义哪些数据包或服务允许/拒绝通过，主要有2种策略。一种是先允许任何接入，然后指明拒绝的项;另一种是先拒绝任何接入，然后指明允许的项。一般地，我们会采用第2种策略。因为从逻辑的观点看，在防火墙中指定一个较小的规则列表允许通过防火墙，比指定一个较大的列表不允许通过防火墙更容易实现。从Internet的发展来看，新的协议和服务不断出现，在允许这些协议和服务通过防火墙之前，有时间审查安全漏洞。

二、基于Linux操作系统防火墙的实现

基于Linux操作系统的防前贺毁火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面，让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。

由于Linux的内核各有不同拍嫌，提供的包过滤的设置办法也不一样。IpFwadm是基于Unix中的ipfw，它只适用于Linux2.0.36以前的内核；对于Linux2.2以后的版本，使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它们配置的4个链中，有3个在Linux内核启动时进行定义，分别是：进入链（InputChains）、外出链（OutputChains）和转发链（ForwardChains），另外还有一个用户自定义的链（UserDefinedChains）。进入链定义了流入包的过滤规则，外出链定义了流出包的过滤规则，转发链定义了转发包的过滤规则。

这些链决定怎样处理进入和外出的IP包，即当一个包从网卡上进来的时候，内核用进入链的规则决定了这个包的流向;如果允许通过，内核决定这个包下一步发往何处，如果是发往另一台机器，内核用转发链的规则决定了这个包的流向;当一个包发送出去之前，内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的，如果这个包与第一条规则不匹配，则接着检查下一条规则，当找到一条匹配的规则后，规则指定包的目标，目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。

其中，Accept指允许通过;Deny指拒绝;Reject指把收到的包丢弃，但给发送者产生一个ICMP回复；Return指停止规则处理，跳到链尾；Masq指对用户定义链和外出链起作用，使内核伪装此包;Redirect只对进入链和用户定义链起作用，使内核把此包改送到本地端口。为了让Masq和Redirect起作用，在编译内核时，我们可以分别选择Config_IP_Masquerading和Config_IP_Transparent_Proxy。

假设有一个局域网要连接到Internet上，公共网络地址为202.101.2.25。内部网的私有地址根据RFC1597中的规定，采用C类地址192.168.0.0～192.168.255.0。为了说明方便，我们以3台计算机为例。实际上，最多可扩充到254台计算机。

具体操作步骤如下：

1、在一台Linux主机上安装2块网卡ech0和ech1，给ech0网卡分配一个内部网的私有地址191.168.100.0，用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25，用来与Internet相连。

2、Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。 具体设置如下：

(1)刷新所有规则
Iptables -F #刷新规则（默认链）
Iptables -X #删除规则（自定义的链）
(2)设置初始规则
Iptables -P INPUT ACCEPT
Iptables -P OUTPUT ACCEPT
Iptables -p FORWARD ACCEPT
(3)设置本地环路规则 本地进程之间的包允许通过。
Iptables -A INPUT -i lo -j ACCEPT
Iptables -A OUTPUT -o lo -j ACCEPT
(4)禁止IP欺骗
Iptables -A INPUT -i eth1 -s 127.0.0.1/8 -j DROP
Iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
Iptables -A INPUT -i eth1 -s 240.0.0.0/3
Iptables -A INPUT -i eth1 -s 0.0.0.0/8
(5)禁止广播包
Iptables -A INPUT -p UDP -s 255.255.255.255 -d 本机IP地址 -j DROP

(6)设置ech1转发规则
Iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 --to-source 本机地址 -j SNAT
Iptables -t nat -A PREROUTING -i eth1 -d 本机地址 --to-destinations 192.168.0.0/16 -j DNAT
将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了。
service iptables stop
chkconfig iptables off

J. 如何配置linux下的防火墙

1、首先需要在Linux系统中查找并打开文件以编辑和配置防火墙，执行命令： vi /etc/sysconfig/iptables。

(10)防火墙软件linux架构扩展阅读：

查看防火墙规则是否生效：

[root@localhost bin]# iptables -L -n

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80