Linux防火墻之Netfilter (1)

Netfilter簡介

　　Linux下的包過濾防火墻，可以運行在2.4,2.6內核上；集成在內核中，不是系統的一個守護進程；對OSI模型中2，3，4層進行處理；只能對數據包頭進行處理；可以用iptables命令來進行規則的配置；代替了ipchains；可以從http://www.netfilter.org查到更多資源。

基本的Netfilter編譯選項

　　為了運行iptables，需要在內核配置期間，選擇以下一些選項，不管你用make config或其他命令。
在內核配置文件中要啟用一些較重要的選項包括Netfilter連接跟蹤、日志記錄和包過濾。（請記住iptables通過用由Netfilter提供的內核中框架來建立一個策略）。
在Network Packet Filtering Framework（Netfilter）中還有兩個額外的配置選項――Core Netfilter Configuration（核心Netfilter配置）和IP：Netfilter Configuration（IP：Netfilter配置）。

核心Netfilter配置

　　核心Netfilter配置選項中包含的一些得要選項都應該被啟用：
Comment match support（comment匹配支持）；
FTP support（FTP協議支持）；
Length match support（數據包長度匹配支持）；
Limit match support（Limit匹配支持）；
MAC address match support（MAC地址匹配支持）；
MARK target support（MARK目標支持）；
Netfilter connection tracking support（Netfilter連接跟蹤支持）；
Netfilter LOG over NFNETLINK interface（Netfilter通過NFNETLINK接口記錄日志）；
Netfilter netlink interface（Netfilter netlink接口）；
Netfilter Xtables support（Netfilter Xtables支持）；
State match support（state匹配支持）；
String match support（string匹配支持）；

IP：Netfilter配置

　　ECN target support（ECN目標支持）；
Full NAT（完整NAT支持）；
IP address range match support（ip地址范圍匹配支持）；
IP tables support（IP tables支持，filtering/masq/NAT需要）；
IPv4 connection tracking support（IPv4連接跟蹤支持，NAT需要）；
LOG target support（LOG目標支持）；
MASQUERAD target support（MASQUERAD目標支持）；
Owner match support（owner匹配支持）；
Packet filtering（包過濾支持）；
Packet mangling（包修改支持，常用于改變包的路由）；
Raw table support（RAW表支持，NOTRACK/TRACE需要）；
Recent match support（recent匹配支持）；
REJECT target support（REJECT目標支持）；
TOS match support（TOS匹配支持）；
TOS target support（TOS目標支持）；
TTL match support（TTL匹配支持）；
TTL target support（TTL目標支持）；
ULOG target support（ULOG目標支持）；

Netfilter工作的位置

　　Netfilter是以模塊的方式存在于Linux中，每當Linux多一個Netfilter的模塊就代表著Linux防火墻的功能多了一項，當然其功能也隨之增加。其中/lib/modules/2.6.18-164.el5/kernel/net/ipv4/netfilter目錄下所存放的模塊只能工作在IPv4的網絡環境下；如下圖所示：

　　/lib/modules/2.6.18-164.el5/kernel/net/ipv6/netfilter目錄下所存放的模塊只能工作在IPv6的網絡環境下，如下圖所示：

　　以上的兩個目錄的模塊有個共同的特性，　都與“協議”有關，　因此，在使用這些模塊時，必須特別留意哪些模塊只能使用在哪個協議下。Linux自2.6.14版本開始，　其內含的Netfilter模塊在設計上有了重大的改變，Netfilter組織希望模塊與“協議”無關，所以就目前情況看來已有部份模塊可以達到這樣的要求其路徑為/lib/modules/2.6.18-164.el5/kernel/net/netfilter如下圖所示：

Netfilter的命令結構

　　了解了Netfilter的結構后應該清楚以上的模塊只是提供了某些過濾匹配的功能而已，如果我們希望Netfilter能為我們做些事，那我們就需給Netfilter執行“規則”，有了規則后，Netfilter才會知道哪些封包是可以被接受的，哪些封包是必須除掉的，　又有哪些封包是必須以特殊方式來處理的。而給予Netfilter規則的方式則是將規則填入到一塊有結構性的內存中，這樣，Netfilter就會依照防火墻管理人員所給的命令來執行。該內存就是俗稱的表，表是防火墻的最大集合，包含鏈和規則；表包括filter table過濾表；nat用于地址轉換；mangle俗稱矯正表和RAW表。鏈則是規則的集合。
匹配：滿足的條件，如源地址，端口等。
方法：對條件做出處理，accept,drop等。

　　Filter表是Netfilter內最為重要的機制，其任務為執行數據包的過濾動作，也就是防火墻的功能；包含INPUT、OUTPUT和FORWARD鏈，用于處理輸入、輸出和轉發包。filter表是缺省的表。
NAT（Network Address Translation）也是防火墻上一個不可或缺的重要機制，它的功能類似于IP分享器，只是相應功能更加強大。用于處理網絡地址翻譯。（包含與masquerading 相關的功能)；包含PREROUTING（路由前）；POSTROUTING（路由后）OUTPUT　輸出（很少用到)共３個鏈。
Mangle表用于處理特殊包的矯正，包含兩個鏈PREROUTING (路由前)，POSTROUTING（路由后）。在流量控制和Qos應用中，經常會用到mangle表。
RAW表負責加快數據包穿越防火墻機制的速度，借此提高防火墻的性能。

Netfilter的Filter機制

　　Filter作為Netfilter中的防火墻分類，首先需明確“數據包的分類”，以下圖所示，假設在計算機上裝有兩片網卡，并且在計算機上分別執行Httpd及Firefox兩個程序。

 
INPUT類型：所謂INPUT類型是指網絡上其它主機送給本機處理（Local Process）的數據包，例如當網絡上的其它使用都來訪問本的的HTTPD服務時就會產生這種類型的數據包。
OUTPUT類型：如果是本機Process所產生的數據包，即為OUTPUT類型的數據包。例如，當使用者在本機上啟用Firefox去訪問網絡上的其它主機時就會產生這種類型的封包。
FORWARD類型：如果數據包對本機而言只是“路過”，那么這就屬于FORWARD類型的數據包。當本機執行Router的角色就會有FORWARD類型的數據包。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]