基于ｌｉｎｕｘ的網(wǎng)絡(luò)控制系統(tǒng)

數(shù)據(jù)包從左邊進(jìn)入系統(tǒng)，進(jìn)行IP校驗(yàn)和，數(shù)據(jù)包流經(jīng)Netfiler框架的第一個(gè)鉤子NF_IP_PREROUTING。進(jìn)入路由代碼，在該處決定該數(shù)據(jù)包是轉(zhuǎn)發(fā)還是發(fā)往本機(jī)。若該數(shù)據(jù)包是發(fā)給本機(jī)的，則數(shù)據(jù)流經(jīng)過Netfilter鉤子NF_IP_LOCAL_IN之后才能傳遞給本機(jī)。若該數(shù)據(jù)包轉(zhuǎn)發(fā)則它被Netfilter鉤子NF_IP_FORWARD處理。經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過最后一個(gè)Netfilter鉤子NF_IP_POSTROUTING處理以后，傳輸出系統(tǒng)。本機(jī)產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子NF_IP_LOCAL_OUT處理，進(jìn)行路由選擇處理，通過NF_IP_POSTROUTING發(fā)送出本系統(tǒng)。 （二）IPTABLES 基于Netfilter框架，稱為iptables的數(shù)據(jù)報(bào)選擇系統(tǒng)在Linux2.4內(nèi)核中被應(yīng)用。內(nèi)核模塊可以注冊(cè)一個(gè)新的規(guī)則表（table表），并要求數(shù)據(jù)報(bào)流經(jīng)指定的規(guī)則表。這種數(shù)據(jù)報(bào)選擇用于實(shí)現(xiàn)數(shù)據(jù)報(bào)過濾（filter表），網(wǎng)絡(luò)地址轉(zhuǎn)換（nat表）及數(shù)據(jù)報(bào)處理（mangle表）。 Linux2.6內(nèi)核提供的這三種數(shù)據(jù)報(bào)處理功能都基于Netfilter的鉤子函數(shù)和IP表。它們是獨(dú)立的模塊，相互之間是獨(dú)立的。它們都完美的集成到由Netfilter提供的框架中。 1．包過濾（filter） filter表不會(huì)對(duì)數(shù)據(jù)報(bào)進(jìn)行修改，而只對(duì)數(shù)據(jù)報(bào)進(jìn)行過濾。iptables優(yōu)于ipchains的一個(gè)方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN，NF_IP_FORWARD及NF_IP_LOCAL_OUT接入Netfilter框架的。因此對(duì)于任何一個(gè)數(shù)據(jù)報(bào)只有一個(gè)地方對(duì)其進(jìn)行過濾。這相對(duì)ipchains來說是一個(gè)巨大的改進(jìn)，因?yàn)樵趇pchains中一個(gè)被轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)會(huì)遍歷三條鏈。 2．網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） NAT表示監(jiān)聽三個(gè)Netfilter鉤子函數(shù):NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING和NF_IP_LOCAL_OUT。NF_IP_PRE_ROUTING實(shí)現(xiàn)對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)的源地址進(jìn)行地址轉(zhuǎn)換。NF_IP_POST_ROUTING則對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包的目的地址進(jìn)行地址轉(zhuǎn)換。對(duì)于本地?cái)?shù)據(jù)報(bào)的目的地址的轉(zhuǎn)換則由NF_IP_LOCAL_OUT來實(shí)現(xiàn)。 NAT表不同于filter表，因?yàn)橹挥行逻B接的第一個(gè)數(shù)據(jù)報(bào)將遍歷NAT表，而隨后的數(shù)據(jù)報(bào)將根據(jù)第一個(gè)數(shù)據(jù)報(bào)的結(jié)果進(jìn)行同樣的轉(zhuǎn)換處理。 NAT表用于源NAT，目的NAT，偽裝（是源NAT的一個(gè)特例）及透明代理（是目的NAT的一個(gè)特例）。 3．?dāng)?shù)據(jù)報(bào)處理（mangle） mangle表在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進(jìn)行注冊(cè)。使用mangle表，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)的修改或給數(shù)據(jù)報(bào)附上一些帶外數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段。 iptables作為用戶管理程序，是用來配置Netfilter過濾規(guī)則的工具，實(shí)現(xiàn)對(duì)Netfilter過濾規(guī)則組織以及添加、刪除等管理操作。規(guī)則是定義了數(shù)據(jù)包過濾的條件以及處理的方式。iptables是與Linux內(nèi)核中的Netfilter機(jī)制緊密結(jié)合的防火墻，是Linux操作系統(tǒng)中的一個(gè)管理內(nèi)核數(shù)據(jù)包過濾的工具，能夠?qū)崿F(xiàn)連接限制、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、日志以及其他許多功能。 三、網(wǎng)絡(luò)控制具體構(gòu)建實(shí)例 下面以我校圖書館的具體要求為例，說明如何利用Netfilter/iptables配置應(yīng)用防火墻。 我校圖書館局域網(wǎng)位于校園網(wǎng)內(nèi)，有三個(gè)網(wǎng)段，分別是172.16.97.0/24，172.16.32.98/24，172.16.99.0/24。圖書館服務(wù)器位于172.16.99.0/24網(wǎng)段、工作人員用機(jī)和讀者公共檢索位于172.16.98.0/24段，電了閱覽室位于172.16.97.0/24網(wǎng)段。電了閱覽室的網(wǎng)絡(luò)需求基本無限制，屬自由區(qū)；關(guān)鍵在于對(duì)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器的保護(hù)，工作人員可自由訪問Intemet但限制使用QQ，BT等服務(wù)，限制讀者公共檢索在校園網(wǎng)內(nèi)使用。