Bài giảng Mạng máy tính và viễn thông - Firewall
PRE-ROUTING: Khi gói tin đến firewall, đầu tiên sẽ bị bộ lọc Pre-Routing kiểm tra
FORWARD: Nếu gói tin đó gửi đến một máy khác mà firewall chỉ là một trung gian,
bộ lọc FORWARD sẽ kiểm tra gói tin.
INPUT: Nếu gói tin đó được gửi đến cho chính firewall (địa chỉ đích là firewall) sẽ
được bộ lọc INPUT kiểm tra
o Trong trường hợp INPUT, nếu firewall có nhu cầu trả lời cho máy nguồn, bộ lọc
OUTPUT sẽ kiểm tra gói tin.
POST-ROUTING: Trước khi gói tin được chuyển đi sẽ được bộ lọc Post-Routing
kiểm tra. Đây là bộ lọc cuối cùng trong firewall xử lý gói tin
Người dùng có thể định nghĩa thêm các chain khác ngoài các chain mặc định
FORWARD: Nếu gói tin đó gửi đến một máy khác mà firewall chỉ là một trung gian,
bộ lọc FORWARD sẽ kiểm tra gói tin.
INPUT: Nếu gói tin đó được gửi đến cho chính firewall (địa chỉ đích là firewall) sẽ
được bộ lọc INPUT kiểm tra
o Trong trường hợp INPUT, nếu firewall có nhu cầu trả lời cho máy nguồn, bộ lọc
OUTPUT sẽ kiểm tra gói tin.
POST-ROUTING: Trước khi gói tin được chuyển đi sẽ được bộ lọc Post-Routing
kiểm tra. Đây là bộ lọc cuối cùng trong firewall xử lý gói tin
Người dùng có thể định nghĩa thêm các chain khác ngoài các chain mặc định
Bạn đang xem tài liệu "Bài giảng Mạng máy tính và viễn thông - Firewall", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.
File đính kèm:
- bai_giang_mang_may_tinh_va_vien_thong_firewall.pdf
Nội dung text: Bài giảng Mạng máy tính và viễn thông - Firewall
- Khoa Công Nghệ Thông Tin – Đại học Khoa Học Tự Nhiên Bộ môn Mạng máy tính và Viễn Thông - Các lệnh dùng để thêm filter vào iptables iptables [-t table]-main_option chain [specification] [ -j target ] table: o filter (default) : thực thi tính năng lọc gói tin o nat : thực thi tính năng NAT o mangle : thực thi tính năng tracking, ToS, QoS Main options: o -A : thêm một rule mới vào cuối chain. o -D : xóa một rule. o -I : chèn một rule vào vị trí number. o -R : thay thế một rule ở vị trí number. o -L : xem các rule đã có. o -F : xóa mọi rule hiện có trong vùng nhớ. Specification: cung cấp các thông tin dùng để so khớp với gói tin nhận được, một số các option như o p: protocal o s, source: nguồn gửi o d, destination: đích dến o sport: port nguồn o dport: port đích o Target o ACCEPT: cho phép gói tin đi qua. o DROP: hủy gói tin. o REJECT: hủy gói tin và gửi thông báo lại cho nơi gửi. Ví dụ: Lọc các gói tin icmp: Lọc các máy có địa chỉ ip thuộc đường mạng 192.168.1.0/24 : Lọc các máy có port đích là 8080 thuộc giao thức tcp Xem các rule đã có 2