0
Linux firewall
•Need of firewall
    •Single connection between 
    network
    •Allows restricted traffic between 
    n...
Linux firewall
•Linux is a open source operating 
system and any firewall in linux is open 
source
•Low­cost
•World wide s...
Difference between Hardware 
firewall and software Firewall
Linux Firewall

Implementing iptables
Installing iptables

most Linux installs “iptables”. “iptables” has 
    become a standard option, especially 
    Red Hat...
Installing iptables

If iptables is installed, you should get the 
              following message: 
  iptables v1.2.8: no...
Installing iptables

If this message does not appear, 
       then follow the directions 
        below to install iptable...
Installing iptables

# tar ­xvjf ./iptables­1.*.*.tar.bz2 ­C /
                   usr/src
 where the asterisks represent t...
Installing iptables
•   # /bin/sh ­c make 
•   To finish the install, type:
•   # /bin/sh ­c make install 
Features of 
             Iptables
•Packet filtering
•Connection tracking
•Network Address Translation
Packet filtering
The real firewall is packet filtering
Packet filtering occurs in layer “3 and 
4” of Open System Intercon...
Net filter chains
• Filter table
• NAT table
• Mangle table
Net filture 
     Architecture 
            Table


           Chain




Policy                 Rule




     Match Specif...
NETFILTER TABLES AND 
               CHAINS
                        TABLES
               FILTER   NAT   MANGLE
Input     ...
Net filter packet flow
PREROUTING    Routing Decision
                                      FORWARD        POSTROUTING


 ...
Implementing Rules 
            and policy in 
              iptables

Policy
#iptables –P INPUT DROP/ACCEPT
#iptables –P ...
 Implementing Rules
#iptables –A INPUT ­i eth0 –p tcp (–s 192.168.0.222) –dport 
22 –j drop
­A    to append the rule at th...
#iptables –A INPUT –i eth0 –p tcp (–s 192.168.0.222) ­ ­dport 22 –j drop


 #service iptables save


          Chain INPUT...
Network Address 
  Translation


             NAT




   SNAT             DNAT
SOURCE NAT     DESTINATION NAT
SNAT
  192.168.0.1
                                              SNAT
  192.168.0.2
                                      ...
DNAT
                                                  192.168.0.1
                   SNAT
                               ...
Simple implementation of NAT
• Internal network connects to the internet with a 
  dynamic public IP address
#iptables –t ...
Redirection: redirection is a special case of the the 
above point.
Redirection translates incoming requests for one IP 
A...
PROXY 
         (Application 
           Firewall)

PROXY or application Firewall is 
 implemented at the application 
   ...
Screening Router
        INTERNET




     Screening Router




     INTERNAL NETWORK
•A simple combined router and packet 
filter is called a screening Router
•A screening router is capable of 
implementing ...
DMZ (Demilitarised Zone)

             INTERNET

DMZ



           Screening Router
• Whenever an internal network needs to 
  access to the internet it connects to the 
  application level gateways in DMZ ...
Reverse Proxy
         INTERNET



        Screening router




PROXY                      PROXY




         WEB SERVER
• Reverse proxy is not a firewall.
• Main feature of reverse proxy are
     • Protection against DoS attack tools 
       ...
Upcoming SlideShare
Loading in...5
×

Linux firewall

1,922

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,922
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
105
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Linux firewall"

  1. 1. Linux firewall •Need of firewall •Single connection between  network •Allows restricted traffic between  networks •Denies un authorized users
  2. 2. Linux firewall •Linux is a open source operating  system and any firewall in linux is open  source •Low­cost •World wide support
  3. 3. Difference between Hardware  firewall and software Firewall
  4. 4. Linux Firewall Implementing iptables
  5. 5. Installing iptables most Linux installs “iptables”. “iptables” has  become a standard option, especially  Red Hat. There is a very good chance  that iptables is already installed on your  machine. Opening a terminal window (making sure to  be logged in as root). Typing: # iptables
  6. 6. Installing iptables If iptables is installed, you should get the  following message:  iptables v1.2.8: no command specified Try 'iptables ­h' or 'iptables ­­help' for  more information
  7. 7. Installing iptables If this message does not appear,  then follow the directions  below to install iptables. o Downloads are available at  http://www.netfilter.org/downloads.html
  8. 8. Installing iptables # tar ­xvjf ./iptables­1.*.*.tar.bz2 ­C / usr/src where the asterisks represent the  version number of the file you  downloaded. Change to the directory it created  (typically iptables­1.*.*), by typing: # cd /usr/src/iptables­1.*.*
  9. 9. Installing iptables • # /bin/sh ­c make  • To finish the install, type: • # /bin/sh ­c make install 
  10. 10. Features of  Iptables •Packet filtering •Connection tracking •Network Address Translation
  11. 11. Packet filtering The real firewall is packet filtering Packet filtering occurs in layer “3 and  4” of Open System Interconnect (OSI)  model ie network and  Application Presentation  transport layer. Session Transport Network Data link Physical
  12. 12. Net filter chains • Filter table • NAT table • Mangle table
  13. 13. Net filture  Architecture  Table Chain Policy Rule Match Specification Target
  14. 14. NETFILTER TABLES AND  CHAINS TABLES FILTER NAT MANGLE Input YES YES Output YES YES YES Forward YES YES PREROUTING YES YES POSTROUTING YES YES
  15. 15. Net filter packet flow PREROUTING Routing Decision FORWARD POSTROUTING DNAT SNAT D Filter table INPUT OUTPUT Filter table Filter table Local process 
  16. 16. Implementing Rules  and policy in  iptables Policy #iptables –P INPUT DROP/ACCEPT #iptables –P OUTPUT DROP/ACCEPT #iptables –P FORWARD DROP/ACCEPT 
  17. 17.  Implementing Rules #iptables –A INPUT ­i eth0 –p tcp (–s 192.168.0.222) –dport  22 –j drop ­A  to append the rule at the bottom of specified chain ­I to insert the rule at the top of the specfified chain ­i income interface ­p  protocol ­s  incoming ip ­­dport destination port ­­sport source port ­o outgoing interface ­d  destination ip
  18. 18. #iptables –A INPUT –i eth0 –p tcp (–s 192.168.0.222) ­ ­dport 22 –j drop #service iptables save Chain INPUT (policy ACCEPT)  target  protocol port  source  destination  DROP  tcp 22 192.168.0.222 anywhere  Deleting rules # iptables –D INPUT <number>  #iptables –D INPUT – i eth0 –p tcp ­ ­dport 22 –j DROP 
  19. 19. Network Address  Translation NAT SNAT  DNAT SOURCE NAT DESTINATION NAT
  20. 20. SNAT 192.168.0.1 SNAT 192.168.0.2 172.16.0.1 192.168.0.3 192.168.0.4 •Each IP address is translated to distinct external IP 1:1 •All internal IP address is translated to a single external IP address.  Internal IP may be Dynamic x:1 •Masquerading. Special case  X:X Dynamic internal IP converted to dynamic outgoing IP
  21. 21. DNAT 192.168.0.1 SNAT 192.168.0.2 172.16.0.1 192.168.0.3 192.168.0.4 Destination NAT translates the destination IP address to different value •Translation 1:X Incoming request for one IP address (and port) are translated to many  different IP address (and port). This can be used to implement some  kind of load balancing •Translation 1:1 Incoming requests for one IP address (and port ) are translated to a  single internal IP address and port
  22. 22. Simple implementation of NAT • Internal network connects to the internet with a  dynamic public IP address #iptables –t nat –A POSTROUTING –i eth0 –o ppp0 –j MASQUERADE 
  23. 23. Redirection: redirection is a special case of the the  above point. Redirection translates incoming requests for one IP  Address and port to a different local port. The packet is  resubmitted to the firewall after translation 
  24. 24. PROXY  (Application  Firewall) PROXY or application Firewall is  implemented at the application  level of OSI model.
  25. 25. Screening Router INTERNET Screening Router INTERNAL NETWORK
  26. 26. •A simple combined router and packet  filter is called a screening Router •A screening router is capable of  implementing simple rule and simple  NAT  •A simple screening router is thus able  to restrict the packets transferred  between the internet and the internal  network. •Usually commercially available routers  implement these simple features
  27. 27. DMZ (Demilitarised Zone) INTERNET DMZ Screening Router
  28. 28. • Whenever an internal network needs to  access to the internet it connects to the  application level gateways in DMZ  which  then forward the request to the internet. • The response reaches the application  level gateways in DMZ which then  forwards the request to the requesting  client
  29. 29. Reverse Proxy INTERNET Screening router PROXY PROXY WEB SERVER
  30. 30. • Reverse proxy is not a firewall. • Main feature of reverse proxy are • Protection against DoS attack tools  – Since the proxy unpacks all IP packets it will drop invalid  packets Accleration: The proxy maintains cache so that it can give reply to  the request from the cash also Load balancing is also done by the reverse proxy
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×