实现Linux网络防火墙(4)

　　通过适当的设置，IP伪装可以在某个网段、某台主机、某个接口、某个协议甚至是某个协议的某些端口上实现，非常灵活。IP伪装可以将内部网络的细节对外部网络屏蔽掉，因此，IP伪装提供了很好的安全性。

　　一般来说，安装相应版本的Linux系统时，系统会自动将Ipchains安装上。如果系统没有安装IP链软件包，可以通过光盘或从网上下载软件包来安装。

　　如果是rpm包，使用如下命令安装：

　　#rpm -ivh *.rpm

　　如果是.tar.gz包，则先需要将压缩包解压：

　　#tar xvfz *.tar.gz

　　然后再到解压后所在目录执行如下命令完成安装：

　　#./configure

　　#make

　　#make install

　　这样就将IP链防火墙成功安装在系统中。成功安装Ipchains后，接下来就是启动并配置包过滤规则。启用Ipchains需要完成如下操作：

　　◆ 手工修改/proc/sys/net/ipv4/ipforward文件，将其内容置为1。

　　◆ 在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件。

　　◆ 在/etc/rc.d目录下的rc.local文件中加上下面这段代码：

　　if [-f /etc/rc.ipfwadm]；then /etc/rc.d/rc.ipfwadm;fi;

　　这使得以后所有Ipchains的配置命令都将在rc.ipfwadm文件里修改。

　　和IPFW一样，Ipchains也是基于配置策略进行包过滤的。使用的策略方式也是两种：

　　（1）首先允许所有的包都可通过，然后禁止有危险的包；

　　（2）首先禁止所有的包，然后再根据所需要的服务允许特定的包通过。

　　Iptables

　　Iptables是一个管理内核包过滤的工具，可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些过滤规则的是Netfilter 。Netfilter是Linux核心中一个通用架构，它提供一系列的表（tables），每个表由若干链（chains）组成，而每条链中可以由一条或数条规则（rule）组成。

　　图 Netfilter的总体结构

　　相对于2.2内核提供的IP链来说，2.4内核提供了更好的灵活性和可扩展性。2.4内核中的防火墙并不是2.2内核的简单增强，而是一次完全的重新实现，2.4内核提供的防火墙软件包在结构上发生了非常大的变化。与IP链相比，2.4内核提供的Iptables的检测点变成了5个，并在每个检测点上登记需要处理的函数，登记通过nf-register-hook（）函数保存在全局变量nf-hook中来实现。当包到达此检测点时，实现登记的函数按照事先定义好的优先级别来执行。相对于2.2内核提供的IP链来说，Iptables实现的不仅仅是包过滤功能，而是通过Netfilter实现一整套框架结构，在这个框架之上实现包过滤、NAT等模块功能，从而提供更好的可扩展性和灵活性。