Chuyên đề Hệ điều hành Linux - Bài 7: Firewall - Lê Hà Minh

Gói phần mềm hỗ trợ firewall/NAT được sử
dụng rộng rãi tích hợp sẵn trên các distro
Linux.
£ Đặc điểm:
- Là một stateful firewall.
- Hỗ trợ cơ chế NAT.
- Cho phép thay đổi thông tin header gói tin
phục vụ QoS
- Hỗ trợ việc tích hợp một cách trong suốt với
các chương trình như Web proxy: Squid. 
pdf 31 trang xuanthi 30/12/2022 2120
Bạn đang xem 20 trang mẫu của tài liệu "Chuyên đề Hệ điều hành Linux - Bài 7: Firewall - Lê Hà Minh", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfchuyen_de_he_dieu_hanh_linux_bai_7_firewall_le_ha_minh.pdf

Nội dung text: Chuyên đề Hệ điều hành Linux - Bài 7: Firewall - Lê Hà Minh

  1. Nội dung n Giới thiệu tường lửa n Iptables của Linux n Cú pháp iptables 2 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  2. Giới thiệu tường lửa Định nghĩa của Bob Shirey trong RFC 2828. Firewall: (I) An internetwork gateway that restricts data communication traffic to and from one of the connected networks (the one said to be "inside" the firewall) and thus protects that network's system resources against threats from the other network (the one that is said to be "outside" the firewall). 4 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  3. Giới thiệu tường lửa DMZ Intranet Internet DNS Mail Web Intra2(win2003) Server Server Server Firewall Firewall SW SW SW IPS IPS IDS Outer Inner Honeypot IDS Intra1 (XP) 6 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  4. iptables £ Gói phần mềm hỗ trợ firewall/NAT được sử dụng rộng rãi tích hợp sẵn trên các distro Linux. £ Đặc điểm: - Là một stateful firewall. - Hỗ trợ cơ chế NAT. - Cho phép thay đổi thông tin header gói tin phục vụ QoS - Hỗ trợ việc tích hợp một cách trong suốt với các chương trình như Web proxy: Squid. 8 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  5. Kiến trúc iptables £ 3 bảng quan trọng của iptables 10 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  6. NAT table £ PREROUTING chain – Thay đổi gói tin trước khi định tuyến. Sử dụng cho DNAT (destination NAT). £ POSTROUTING chain – Thay đổi gói tin sau khi định tuyến. Sử dụng cho SNAT (source NAT). £ OUTPUT chain – NAT các gói tin phát sinh cục bộ và đi từ firewall. 12 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  7. RAW table £ Sử dụng để đánh dấu các gói tin không được theo dõi bởi hệ thống theo dõi kết nối (connection tracking firewall – chức năng của statefull firewall) p PREROUTING chain p OUTPUT chain 14 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  8. Quá trình hoạt động 16 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  9. Cú pháp iptables iptables [–t table] command [chain] [match] [-j target] 18 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  10. Các command 20 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  11. Đối với ICMP £ Ví dụ: 22 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  12. Các trạng thái: 24 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  13. Các trạng thái 26 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  14. Các target 28 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên
  15. Một số ví dụ £ iptables -F £ iptables -P INPUT DROP £ iptables -P FORWARD DROP £ iptables -P OUTPUT ACCEPT £ iptables -A INPUT -i lo -j ACCEPT £ iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT £ iptables -L –v £ INPUT -m state state ESTABLISHED,RELATED -j ACCEPT £ iptables -A INPUT -p tcp dport 6881 -m state state NEW -j ACCEPT 30 9/11/17 Bộ môn MMT&VT - Khoa CNTT - ĐH Khoa học tự nhiên