Tải bản đầy đủ (.ppt) (20 trang)

Giáo trình Hệ điều hành Linux nâng cao Chương 7

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (119.03 KB, 20 trang )

LINUX SECURITY
NỘI DUNG
§
GIỚI THIỆU VỀ IPTABLE.
§
CÁC LOẠI BẢNG TRONG TABLE.

CÁC LOẠI CHAIN TRONG BẢNG.

CÁCH SỬ DỤNG FILTER LÀM FIREWALL.

CÁCH SỬ DỤNG BẢNG NAT.
1. GIỚI THIỆU VỀ IPTABLE.

IPTABLE dùng để tăng tính bảo mật trên hệ thống
Linux.

Cài đặt Iptable :

Iptable được cài đặt mặc đònh trong hệ thống Linux,
package của Iptable là Iptable-1.2.9-1.0.i386.rpm

Khởi động Iptable :

#service iptable start

#service iptable stop

#service iptable restart
2. CÁC LOẠI BẢNG TRONG TABLE.
Iptable tổ chức phân lọai dựa theo cách thức xử lý gói tin.


Các gói tin này được xử lý qua các Bảng (trong mỗi bảng có
phân biệt dạng gói tin đi vào- INPUT, đi ra- OUTPUT hoặc
chuyển tiếp- Forward hay cách thức biến đổi địa chỉ nguồn,
đích- PREROUTING, POSTROUTING,… và người ta gọi nó là
chain. Trong mỗi chain sẽ có những luật- rule để quyết định
xử lý gói tin như thế nào: cho phép-accept, từ chối-reject, bỏ
đi-drop,… ). Chủ yếu trong thực tế người ta dùng bảng
FILTER và NAT.

FILTER: lọc gói tin vào ra trên Server (đóng vai trò như một firewall)

NAT: cho ánh xạ 1 địa chỉ IP thành nhiều

MANGLE: biến đổi Type of Service bits trên header của gói tin TCP
3. CÁC LOẠI CHAIN TRONG BẢNG.

Bảng FILTER :

INPUT: gói tin đi từ máy bất kỳ nào vào Server.
Server
(destination)
PC
(source)
PC
(source)
CÁC LOẠI CHAIN (tt).

OUTPUT: gói tin đi từ Server đến máy bất kỳ nào.
Server
(source)

PC
(destination)
PC
(destination)
CÁC LOẠI CHAIN (tt).

FORWARD: gói tin đi vào 1 card mạng này của Server và được
chuyển qua card mạng khác (cũng trên server đó) để đi ra 1
mạng khác.
Server
forward
PC
(source)
PC
(destination)
CÁC LOẠI CHAIN (tt).

Bảng NAT :

POSTROUTING: Thực hiện việc NAT sau khi gói tin
đã đi qua bộ định tuyến (routing) của Server. Bảng
này còn biết với tên gọi là SNAT (Source NAT).
SNAT còn có 1 trường hợp đặc biệt gọi là
MASQUERADE. MASQUERADE dùng trong trường
hợp IP thật thay đổi liên tục (thường là khi ta dùng
Dial-up hoặc ADSL).

×