基于Iptables和Linux策略路由的防火墙实现.pdf

ISSN1009-3044 E-mail: info@ 第8 卷第6 期 (2012 年2 月) Computer Knowledge and Technology 电脑知识与技术 Computer Knowledge and Technology 电脑知识与技术 Vol.8, No.6, February 2012 Tel:+86-551-5690963 5690964 基于Iptables 和Linux 策略路由的防火墙实现 金华厅，熊斌杰，杨本祥，伍谦，宋绍云 （玉溪师范学院信息技术工程学院，云南玉溪653100 ） 摘要：策略路由是目前硬件路由器支持的一种高级路由技术，路由器不仅可以根据目的IP 地址进行路由选择外，而且还可以根据其 他因素进行路由选择。在Linux 下应用iptables 和策略路由实现防火墙，在功能上更强大，使管理员更灵活方便的控制所需要的转 发，不仅能够根据IP 包的目的地址而且能够根据报文大小或IP 源地址来选择数据包的转发路径，以更好的控制内外网数据包的转 发和限制。 关键词：策略路由；Linux ；iptables ；防火墙 中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2012)06-1273-04 在网络迅速快速发展的今天，互联网络逐渐进入企业和个人的家庭，构建一个安全、稳定和低成本的防火墙是当今趋向。防火 墙是最早的网络安全产品和使用数量最多的安全产品，一直以来得到大多数用户和研发机构的喜爱。而Linux 有其良好的网络性 能和开放源码，使Linux 成为更多的用户选择其作为防火墙的操作平台。Linux 策略路由需结合iptables 才能充分体现其功能的强 大,实际工作中的应用多半基于此。 本课题通过对Iptables 构架分析和策略路由的应用分析从而在Iptables 和Linux 高级路由下实现防火墙的功能，使用管理员更灵 活方便的控制所需要的转发，不仅能够根据IP 包的目的地址而且能够根据报文大小、应用或IP 源地址来选择转发路径，以更好的控 制内外网数据包的转发和限制。 1Netfilter/iptables架构分析 Netfilter/iptables 是集成在Linux2.4 的内核中，是防火墙的核心部分，也是一个通用架构，它包含一系列的“表”（tables ），每个表 许多“链”（chains ）构成，而每条链可以由一条或数条“规则”（rule ）构成，包过滤处理正是由这些规则来控制的。在Netfilter /iptables 中，使用表(链) 中的INPUT、OUTPUT 和FORWARD 数据包过滤规则。将数据包送到本地主机的输入规则链或是转发规则链是由入 站数据包是否需要经过路由决定的。Netfilter /iptables 数据包的流动过程如图1 所示。 图1 Netfilter包传输 如果目的地址为本地的数据包被INPUT 规则链的规则所接受，数据包就会在本地传送。如果目的地址为外地的数据包被FOR⁃ WARD 规则链的规则接受，数据包就会被送出相应的接口，经本地处理后的外出数据包被送到OUTPUT 规则链。如果数据包被接 受了，就会被送出相应的接口。所有，每个数据包被过滤一次。 用Netfilter 建立防火墙使用iptables 管理命令，iptables 命令执行所建立的防火墙策略管理防火墙的行为，iptables 可以加入、插 入或删除核心包过滤表格（链）中的规则。在iptables 防火墙中提供了三种策略规则表：Filter、NAT 和Mangle ，分别实现包过滤，地址 [1] 转换和处理包内容的功能。 2策略路由 策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，如何对所需要路由的数据包进 行处理是通过路由图决定的，一个数据包的下一跳转发路由器又是通过路由图决定的。 收稿日期：2012-01-29 本栏目责任编辑：冯蕾