Netfilter/Iptables的防火墙功能介绍

核心提示： 为何需要防火墙？提高网络安全 - 某些服务有着固有的风险，不可能作到安全性，Netfilter/Iptables的防火墙功能介绍(2)，防火墙可以帮助你提高网段或部分网络的安全性，网络访问控制 - 防火墙可以强制性的在网络中应用安全规则，日志记录 - 由于防火墙检测所有入站/出站的网络通讯

为何需要防火墙？

提高网络安全 - 某些服务有着固有的风险，不可能作到安全性。防火墙可以帮助你提高网段或部分网络的安全性。

网络访问控制 - 防火墙可以强制性的在网络中应用安全规则。

日志记录 - 由于防火墙检测所有入站/出站的网络通讯，它可以记录网络中的活动。

防火墙的类型

代理防火墙 - 代理服务器.

包过滤防火墙 - 检测IP包 (Netfilter).

什么是 Netfilter/Iptables?

Linux 2.4内核中Netfilter是新的用来实现防火墙的. Iptables 是用来指定Netfilter规则的用户工具。

为什么Ipchains被改为Netfilter/Iptables

状态匹配 - 连接跟踪(can you trust the remote host to determine whether your firewall will accept a packet?).

自动碎片重装- Connection tracking automatically reassembles fragmented packets for examination.

改良的匹配规则 - 高级包匹配，例如速率限制、字符串匹配.

增强的日志功能 - 允许自定义日志级别和实体.

允许包撕裂(?mangle) - 允许撕裂包中的任何信息

用户队列Userspace queuing -允许userspace可以对包进行编程.

支持内置包转发 - 舍弃了IPMASQADM.

主要功能

状态包过滤(连接跟踪)

各种网络地址翻译

灵活、易扩展的急智机制

大量的增强型补丁包

Netfilter/iptables可以做什么?

建立Internet防火墙和基于状态的包过滤

用NAT和伪装(masquerading)共享上网

用NAT实现透明代理

和tc+iproute2配合使用可以实现QoS路由

用(mangling)修改IP包头的TOS字段来实现更复杂的功能

安装Iptables