WEB开发网
开发学院网络安全防火墙 实现Linux网络防火墙 阅读

实现Linux网络防火墙

 2006-07-04 12:35:49 来源:WEB开发网   
核心提示: 和前面介绍的两个软件包一样,Iptables及Netfilter也是内置在Linux内核中,实现Linux网络防火墙(6),可以将相应的软件包编译到内核中,从而完成 Iptables防火墙的安装,比如-p tcp;使用--in-interface/-i或--out-interface/-o

和前面介绍的两个软件包一样,Iptables及Netfilter也是内置在Linux内核中,可以将相应的软件包编译到内核中,从而完成 Iptables防火墙的安装。Netfilter框架能够在内核2.3.5及以上版本实现。在将软件包重新编译进内核时,要求选择和Netfilter 相关的项目。这些项目通常都是位于“Networking options”子项下。以2.4.0内核为例,应该选中的项目有:

[*] Kernel/User netlink socket [ ] Routing messages <*> Netlink device emulation [*] Network packet filtering (replaces ipchains)  在“IP: Netfilter Configuration ---->”选中如下选项: <M> Connection tracking (required for masq/NAT) <M> FTP protocol support <M> IP tables support (required for filtering/masq/NAT) <M > limit match support <M> MAC address match support <M> Netfilter MARK match support <M> Multiple port match support <M> TOS match support <M> Connection state match support <M> Packet filtering <M> REJECT target support <M> Full NAT <M> MASQUERADE target support <M> REDIRECT target support <M> Packet mangling <M> TOS target support <M> MARK target support <M> LOG target support <M> ipchains (2.2-style) support <M> ipfwadm (2.0-style) support

上面最后两个项目可以不选,如果将其选中,则可以在2.4内核中使用Ipchains或Ipfwadm。需要注意的是,Iptables和 Ipchains/Ipfwadm是相对立的,在使用Iptables时就不能同时使用Ipchains/Ipfwadm。选择完所需选项后,就可以执行编译操作了。编译成功后,这些模块文件都位于目录/lib/modules/2.4.0/kernel/net/ipv4/netfilter中。

编译2.4.0新内核时还应该注意,要在“Processor type and features”中选择与所用CPU相对应的、正确的CPU选项,否则新内核可能无法正常工作。

成功安装Iptables后,不能直接使用Iptables,还必须载入相关模块。使用以下命令载入相关模块:

#modprobe iptable_tables

modprobe命令会自动载入指定模块及其相关模块。iptables_filter模块会在运行时自动载入。

Iptables实际上是一个操作过滤规则的工具。利用Iptables工具,可以对Netfilter中的链和规则进行操作。Iptables使用与 IP链基本相同的语法和命令格式。除了对链和规则进行操作外,Iptables还提供其它一些操作。如通过--source/--src/-s指定源地址;通过--destination/--dst/-s指定目的地址;通过--protocol/-p选项指定协议,比如-p tcp;使用--in-interface/-i或--out-interface/-o)指定网络接口;指定IP碎片等。这里不一一介绍相关语法。读者可以从HOWTO文档获得相关内容。

上一页  1 2 3 4 5 6 

Tags:实现 Linux 网络

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接