Netfilter/Iptables在高級技師考試中應用及探索

◆楊澤明

（蘇州工業園區職業技術學院 江蘇 215123）

Netfilter/Iptables在高級技師考試中應用及探索

◆楊澤明

（蘇州工業園區職業技術學院 江蘇 215123）

本文作者參加江蘇省計算機管理高級技師考試中出現有關數據安全、網絡安全管理與服務器系統運行維護考核內容分析，提出相應的解決方案，進而分析Linux2.4內核中采用Netfilter/Iptables中小型企業中的應用與實踐，本文實現基于Netfilter/Iptables的防火墻架構，結構清晰、開發成本低、配置靈活、功能強大等特點，加上 Linux 本身所具備的較高的安全性，適合于中小型規模網絡應用。

Netfilter/Iptables；工作原理；實例案例；解決方案

0 引言

隨著互聯網技術的應用與發展，QQ、微信等實時通訊應用越來越普及，網絡安全信息管理已成為網絡管理中日益突出的問題。Linux內核從linux2.2就已經有了內核防火墻ipchains，基本實現了包過濾、地址偽裝等功能，而從Linux2.4的內核中又采用全新的Netfilter/Iptables 框架，使網絡層和防火墻在結構上十分清楚，防火墻代碼修改和擴充更加容易。Netfilter提供可擴展的結構化底層框架，在此框架之上實現的數據包選擇工具 Iptables負責對輸入、輸出的數據包進行過濾和管理等工作。Netfilter/iptables 是集成在Linux2.4 的內核中，是防火墻的核心部分，也是一個通用架構，它包含一系列的“表”（tables），每個表許多“鏈”（chains）構成，而每條鏈可以由一條或數條“規則”（rule）構成，包過濾處理正是由這些規則來控制的。在Netfilter /iptables中，使用表（鏈）中的INPUT、OUTPUT 和FORWARD數據包過濾規則。將數據包送到本地主機的輸入規則鏈或是轉發規則鏈是由入站數據包是否需要經過路由決定的。

Netfilter 防火墻的工作原理：

Netfilter 在整個網絡流程的若干位置放置了一些檢測點，每個檢測點上都登記了一些處理函數，這些函數將對流經此處的數據包進行處理，如包過濾、NAT 等。同一個檢測點上的處理函數注冊在同一個鏈上。Netfilter 預定義有五個鏈：

（1）PREROUTING：數據包進入網絡協議棧后經過的第一個鏈；

（2）POSTROUTING：數據包即將離開協議棧經過的最后一個鏈；

（3）FORWARD：數據包在轉送的時候將經過該鏈；

（4）INPUT：到達本機的數據包將經過該鏈；

（5）OUTPUT：離開本機的數據包將經過該鏈。

Netfilter 的另一部分是知道這些鉤子函數如何工作的一套規則，Netfilter 將這些規則分類存儲在被稱為表的數據結構之中，常用的表有：

（1）conntrack：連接跟蹤表，用來跟蹤和記錄連接狀態。

（2）filter：過濾表，過濾數據包，對數據包不作任何修改，或接受，或拒絕。

（3）Nat：網絡地址轉換表。

（4）Mangle：重組表，在這里可以對數據包進行修改和標記。鉤子函數通過訪問表來判斷應該返回什么值給內核。

1 防火墻的應用實例（2016年高級技師考試中問題的解決方案）

在江蘇省計算機網絡管理員高級技師考試中，出現有關數據安全、網絡安全管理與服務器系統運行維護考核內容如下：

1.1 數據安全、網絡安全管理與服務器系統運行維護

在Linux下使用iptable作防火墻，設置以下規則：

（1）禁止ip 地址192.168.1.5 從eth0訪問本機，截圖保存為1.jpg。

圖1 截圖1

（2）禁止子網192.168.5.0 從eth0訪問本機的web服務，截圖保存為2.jpg。

圖2 截圖2

（3）禁止ip地址192.168.7.9從eth0訪問本機的ftp服務，截圖保存為3.jpg。

圖3 截圖3

1.2 數據安全、網絡安全管理與服務器系統運行維護

在Linux上使用iptable實現NAT服務，并設置以下規則：

（1）禁止所有客戶機使用qq，截圖保存為4.jpg。

假設QQ軟件采用的 tcp/udp 協議進行傳輸數據，端口通常采用的是8000，所以：

圖4 截圖4

（2）禁止Internet上的計算機通過icmp協議ping 到Linux服務器的pppoe接口，截圖保存為5.jpg。

圖5 截圖5

（3）發布內網192.168.2.5主機的 web 服務到Internet，截圖保存為6.jpg。

圖6 截圖6

（4）禁止用戶訪問域名為 www.playboy.com的網站，截圖保存為7.jpg。

圖7 截圖7

（5）在linux上實現智能的dns服務，截圖保存為8.jpg。關于實現智能的dns服務，主要是為了實現負載均衡。

如果內部服務器存在多臺相同類型應用的服務器，可以使用DNAT，將外部的訪問流量分配到多臺Server上，實現負載均衡，減輕服務器的負擔。有如下場景：

公司內部共有3臺數據相同的Web服務器，IP地址分別為192.168.0.10、192.168.0.11以及192.168.0.12，防火墻外部地址為212.226.100.23，為了提高頁面的響應速度，需要對Web服務器進行優化。

圖8 截圖8

2 Netfilter/Iptables防火墻在中小型企業的應用實踐

案例分析：蘇州熱拍網絡公司企業員工80-100 人左右，采用單臺防火墻即能滿足企業網絡需求，可以把企業網絡按以下思路進行設計。防火墻把網絡分成三塊：eth0 連接互聯網（Internet），eth1 連接內部網（Intranet），eth2 連接 DMZ。假如出口的 IP 為靜態的，地址為 10.1.1.1/8，出口的下一跳為10.1.1.2/8，內網的 IP 地址為 172.17.1.0/24，內網的網關為172.17.1.254/24，DMZ 的 IP 地址為 172.17.8.0/24，DMZ的 網關 為 172.17.8.254/24，Web 服 務 器 的 IP 地 址 為172.17.8.80/24，FTP 服務器的 IP 地址為 172.17.8.21/24。

配置防火墻的思路步驟如下：

（1）清空防火墻默認配置：[root@compute～]#iptables -F

（2）配置防火墻的 IP 地址，修改以讓其臨時生效。

（3）在防火墻上啟用路由

（4）在防火墻上配置 SNAT，讓內網用戶上網

（5）在防火墻上配置 DNAT，讓外網的用戶能訪問到 DMZ的WEB 與 FTP 服務器

3 結束語

本文通過對我省計算機網絡管理高級技師考試題的分析，引出設計了中小型企業網絡防火墻設計解決方案。防火墻作為互聯網中使用最廣泛的安全措施之一，應用廣泛。而 Linux 作為目前唯一在全球范圍內廣泛接受和應用的開源操作系統，所提供的靈活性和可操作性為開發和配置防火墻及按特定網絡環境的要求構建防火墻提供了一個價格低廉、性能優良的平臺，日益受到眾多企業和個人用戶的廣泛接受。防火墻技術是網絡安全中的一大關鍵技術，在Internet的發展中，防火墻技術的發展起到了舉足輕重的作用。

[1]2016年江蘇省計算機網絡管理高級技師樣題.

[2]楊云，馬立新.網絡服務器搭建、配置與管理—Linux版[M].北京：人民郵電出版社，2011.

[3]陳勇勛.Linux網絡安全技術與實現（第2 版）[M].北京：清華大學出版社，2012.