收藏 分销(赏)
立即下载 开通VIP

项目14-防火墙与squid代理服务器的搭建.ppt

上传人:w****g 文档编号:9445362 上传时间:2025-03-26 格式:PPT 页数:71 大小:1.16MB 下载积分:16 金币
下载 相关 举报
项目14-防火墙与squid代理服务器的搭建.ppt_第1页
第1页 / 共71页
项目14-防火墙与squid代理服务器的搭建.ppt_第2页
第2页 / 共71页


点击查看更多>>
资源描述
,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,第,*,页,Linux,网络操作系统配置与管理,*,Linux,网络操作系统配置与管理,Linux,网络操作系统配置与管理,教材配套的光盘为师生双方提供了丰富的教学资源。主要包括,:,课程标准,(,教学大纲,),、教学设计方案,(,教案,),、,PPT,课件、项目习作参考答案、配套软件清单及下载地址、模拟试卷及评分标准和参考答案,(4,套,),、网络管理员职责、相关认证考试介绍与往年试卷、知识拓展资料、网络工程案例与解决方案。,教材主编:夏笠芹,出版社:,项目,14,防火墙与,squid,代理服务器的搭建,【,职业知识目标,】,了解,:,防火墙的基本概念、分类与作用;,Squid,代理服务器的分类及特点,熟悉,:Linux,防火墙的架构及包过滤的匹配流程,掌握,:iptables,命令的格式和使用;,NAT,的配置方法;,【,职业能力目标,】,会安装,iptables,软件包;,能使用,iptables,命令设置包过滤规则,会配置,NAT,服务,会安装,Squid,软件包,会架设普通代理、透明代理和反向代理服务器,会在客户端测试,iptables,和,Squid,的配置情况,14.1,项目背景,信息安全始终是企业信息化中一个不可忽视的重要方面,;,而如何在保障企事业内部网络安全的同时为内网和外网,(,互联网,),的用户提供高效、安全、稳定可靠的访问服务,是网络管理员所考虑的问题。,RHEL 5,内置的,iptables,防火墙和代理服务器则为我们提供了一种物美价廉的解决方案。,14.2,项目知识准备,14.2.1,认识防火墙,(firewall),1,什么是防火墙,防火墙,是指设置在不同网络,(,如可信任的企业内部网和不可信的公共网,),或网络安全域之间的一系列部件的组合。,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制,(,允许、拒绝、监测,),出入网络的信息流,且本身具有较强的抗攻击能力。,在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和,Internet,之间的任何活动,保证了内部网络的安全。,2.,防火墙的功能,过滤进出网络的数据包,封堵某些禁止的访问行为,对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。,对网络攻击进行检测和告警。,防火墙可以保护网络免受基于路由的攻击,如,IP,选项中的源路由攻击和,ICMP,重定向中的重定向路径,并通知防火墙管理员。,提供数据包的路由选择和网络地址转换,(NAT),从而解决局域网中主机使用内部,IP,地址也能够顺利访问外部网络的应用需求。,14.2.1,认识防火墙,(firewall),3.,防火墙的类型,1,)按采用的技术划分,包过滤型防火墙,在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则,通过检查数据流中每个数据包的,IP,源地址、,IP,目的地址、传输协议,(TCP,、,UDP,、,ICMP,等,),、,TCP/UDP,端口号等因素,来决定是否允许该数据包通过。(包的大小,1500,字节),代理服务器型防火墙,是运行在防火墙之上的一种应用层服务器程序,它通过对每种应用服务编制专门的代理程序,实现监视和控制应用层数据流的作用。,14.2.1,认识防火墙,(firewall),2,)按实现的环境划分,软件防火墙:,学校、上前台电脑的网吧,普通计算机,+,通用的操作系统(如:,linux,),硬件(芯片级)防火墙,:基于专门的硬件平台和固化在,ASIC,芯片来执行防火墙的策略和数据加解密,具有速度快、处理能力强、性能高、价格比较昂贵的特点,(如:,NetScreen,、,FortiNet,),通常有三个以上网卡接口,外网接口:,用于连接,Internet,网;,内网接口:,用于连接代理服务器或内部网络;,DMZ,接口,(非军事化区):专用于连接提供服务的服务器群。,Console,口,4,个,10/100/1000,口,并发连接数,:500000,网络吞吐量,:1100Mbps,过滤带宽,:250Mbps,CheckPoint UTM-1 570,14.2.1,认识防火墙,(firewall),14.2.2 Linux,防火墙概述,1,Linux,防火墙的历史,从,1.1,内核开始,,Linux,系统就已经具有包过滤功能了,随着,Linux,内核版本的不断升级,,Linux,下的包过滤系统经历了如下,3,个阶段:,在,2.0,内核中,包过滤的机制是,ipfw,,管理防火墙的命令工具是,ipfwadm,。,在,2.2,内核中,包过滤的机制是,ipchain,,管理防火墙的命令工具是,ipchains,。,在,2.4,之后的内核中,包过滤的机制是,netfilter,,防火墙的命令工具是,iptables,。,2,Linux,防火墙的架构,Linux,防火墙系统由以下两个组件组成:,netfilter,:,netfilter,是集成在内核中的一部分,作用是定义、保存相应的过滤规则。,提供了一系列的表,每个表由若干个链组成,而每条链可以由一条或若干条规则组成。,netfilter,是表的容器,表是链的容器,而链又是规则的容器。,表,链,规则,的分层结构来组织规则,iptables,:,是,Linux,系统为用户提供的管理,netfilter,的一种工具,是编辑、修改防火墙(过滤)规则的编辑器,通过这些规则及其他配置,告诉内核的,netfilter,对来自某些源、前往某些目的地或具有某些协议类型的数据包如何处理。,这些规则会保存在内核空间之中。,14.2.2 Linux,防火墙概述,表,链,规则,的分层结构来组织规则,14.2.2 Linux,防火墙概述,1,表(,tables,),专表专用,filter,表,包过滤,含,INPUT,、,FORWARD,、,OUTPUT,三个链,,nat,表,包地址修改,:用于修改数据包的,IP,地址和端口号,即进行网络地址转换。,含,PREROUTING,、,POSTROUTING,、,OUTPUT,三个链,,mangle,表,包重构:修改包的服务类型、生存周期以及为数据包设置,Mark,标记,以实现,Qos,(服务质量)、策略路由和网络流量整形等特殊应用。,含,PREROUTING,、,POSTROUTING,、,INPUT,、,OUTPUT,和,FORWARD,五个链,,raw,表,数据跟踪,:用于数据包是否被状态跟踪机制处理,包含,PREROUTING,、,OUTPUT,两个链。,14.2.3,iptables,规则的分层结构,2,链(,chains,),处理的数据包流向的不同,INPUT,链,当数据包源自外界并前往防火墙所在的本机(入站)时,即数据包的目的地址是本机时,则应用此链中的规则。,OUTPUT,链,当数据包源自防火墙所在的主机并要向外发送(出站)时,即数据包的源地址是本机时,则应用此链中的规则。,FORWARD,链,当数据包源自外部系统,并经过防火墙所在主机前往另一个外部系统(转发)时,则应用此链中的规则。,PREROUTING,链,当数据包到达防火墙所在的主机在作路由选择之前,且其源地址要被修改(源地址转换)时,则应用此链中的规则。,POSTROUTING,链,当数据包在路由选择之后即将离开防火墙所在主机,且其目的地址要被修改(目的地址转换)时,则应用此链中的规则。,用户自定义链,14.2.3,iptables,规则的分层结构,3,规则(,rules,),规则其实就是网管员预定义的过滤筛选数据包的条件。,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。,当数据包与规则匹配时,,iptables,就根据规则所定义的动作来处理这些数据包(如放行、丢弃和拒绝等)。,配置防火墙的主要工作就是添加、修改和删除这些规则。,学习防火墙就是学习这些规则如何去写,14.2.3,iptables,规则的分层结构,14.2.4,数据包过滤匹配流程,表间的优先顺序,依次为:,raw,、,mangle,、,nat,、,filter,链间的匹配顺序,入站数据:,PREROUTING,、,INPUT,出站数据:,OUTPUT,、,POSTROUTING,转发数据:,PREROUTING,、,FORWARD,、,POSTROUTING,链内规则的匹配顺序,按顺序依次进行检查,找到相匹配的规则即停止(,LOG,策略会有例外),若在该链内找不到相匹配的规则,则按该链的默认策略处理,14.2.5,代理服务器,squid,1,Squid,代理服务器的作用,Squid,除了具有防火墙的代理、共享上网等功能外,还有以下特别的作用,:,加快访问速度,节约通信带宽,多因素限制用户访问,记录用户行为,2,Squid,代理服务器的工作流程,3,Squid,代理服务器的分类及特点,Squid,代理服务器按照代理的设置方式可以分为以下三种,:,普通,(,标准,),代理服务器,这种代理服务器需要在客户端的浏览器中设置代理服务器的地址和端口号。,透明代理服务器,透明代理是,NAT,和代理的完美结合,之所以称为透明,是因为在这种方式下用户感觉不到代理服务器的存在,不需要在浏览器或其它客户端工具,(,如网络快车、,QQ,、迅雷等,),中作任何设置,客户机只需要将默认网关设置为代理服务器的,IP,地址便可。,反向代理服务器,普通代理和透明代理是为局域网用户访问,Internet,中的,Web,站点提供缓存代理,而反向代理恰恰相反,是为,Internet,中的用户访问企业局域网内的,Web,站点提供缓存加速。,14.2.5,代理服务器,squid,14.3,项目实施,任务,14-1 iptables,服务的安装,1,安装,iptables,软件包,因为,netfilter/iptables,的,netfilter,组件是与内核集成在一起的,所以只需要安装,iptables,工具,默认情况下系统会安装该软件包,可通过下面命令检查是否已安装:,rootServer1#,rpm-qa|grep iptables,iptables-ipv6-1.3.5-5.3.el5,iptables-1.3.5-5.3.el5,若输出了版本信息,则表明系统已安装。,若未安装可在,RHEL 5,安装光盘中找到安装包,iptables-1.3.5-5.3.el5.i386.rpm,进行安装便可。,2,iptables,服务的常用管理命令,设置完成后可启动、停止或重启,iptables,服务了,其有关命令如下:,(,1,),iptables,服务的启动、停止或重新启动,service iptables start,|,stop,|,restart,(,2,),iptables,服务的自动启动,#,chkconfig,-,level 345,iptables on,#,ntsysv,此命令打开文本图形界面,在,iptables,前面选中“*”,确定后即可实现开机自动加载,iptables,服务,否则取消掉“*”就不自动加载了。,任务,14-1 iptables,服务的安装,是对防火墙配置管理的核心命令,其基本格式为:,iptables,-t,表名,命令选项,链名,-,匹配条件,-j,目标动作,/,跳转,其中:,表名、链名,用于指定所操作的表和链,若未指定表名,则,filter,作为缺省表。,命令选项,指定管理规则的方式,常用的命令选项见表,15-1,。,匹配条件,用于指定对符合什么样的条件的包进行处理,常用条件匹配见表,15-2,。,目标动作,/,跳转,用来指定内核对数据包的处理方式,如允许通过、拒绝、丢弃或跳转给其他链进行处理等,常用目标动作,/,跳转见表,15-3,。,任务,14-2,认识,iptables,命令的基本格式,任务,14-2,认识,iptables,命令的基本格式,任务,14-2,认识,iptables,命令的基本格式,网络层的,IP,数据包、传输层,TCP,数据包,任务,14-2,认识,iptables,命令的基本格式,任务,14-2,认识,iptables,命令的基本格式,任务,14-3 iptables,命令的基本使用,1,添加、插入规则,#,iptables,-t filter,-A INPUT,-p tcp,-j ACCEPT,#,iptables,-,I,INPUT,-p udp,-j ACCEPT,#,iptables,-I,INPUT 2,-p icmp,-j ACCEPT,2,查看规则,#,iptables,-t filter,-L INPUT,-,line-numbers,Chain INPUT(policy ACCEPT),num target prot opt source destination,1 ACCEPT udp -anywhere anywhere,2 ACCEPT icmp-anywhere anywhere,3 ACCEPT tcp -anywhere anywhere,#,iptables,-vnL,INPUT,L,选项要放在,vn,后,否则会将,vn,当成链名,3,创建、删除用户自定义链,#,iptables,-t,filter,-N hnwy,在,filter,表中创建一条用户自定义的链,链名为,hnwy,。,#,iptables,-t,filter,-X,清空,filter,表中所有自定义的链。,4,删除、清空规则,#,iptables,-D INPUT 3,#,iptables,-F,#,iptables,-t nat,-F,任务,14-3 iptables,命令的基本使用,5,设置内置链的默认策略,当数据包与链中所有规则都不匹配时,将根据链的默认策略来处理数据包。,默认允许的策略:,首先默认允许接受所有的输入、输出、转发包,然后拒绝某些危险包。没有被拒绝的都被允许(灵活方便、但安全性不高),#,iptables,-P,OUTPUT,ACCEPT,默认禁止的策略:,通常采用默认禁止的策略。,首先拒绝所有的输入、输出、转发包,然后根据需要逐个打开要开放的各项服务。,没有明确确允许的都被拒绝(安全性高、但不灵活),#,iptables,-t filter,-P,FORWARD,DROP,任务,14-3 iptables,命令的基本使用,6,匹配条件的设置,匹配条件是识别不同数据包的依据,它详细描述了数据包的某种特征,以使这个包区别于其它所有的包。,iptables,的匹配条件有三类:,通用匹配条件,不依赖于其他匹配条件和扩展模块,可直接使用。包括:协议、地址和网络接口匹配,iptables,-I,FORWARD,-s 10.10.1.0/24,-j,ACCEPT,允许内网,10.10.1.0/24,子网里所有的客户机上,Internet,网,iptables,-I,INPUT,-p icmp,-s 172.16.102.36,-j DROP,iptables,-I,INPUT,-i eth0,-p icmp,-j DROP,禁止,Internet,上的计算机通过,ICMP,协议,ping,到本服务器的上连接公网的网络接口,eth0,。,任务,14-3 iptables,命令的基本使用,隐含条件匹配,以,协议匹配为前提,端口匹配,以协议匹配为,前提,,不能单独使用端口匹配,#,iptables,-I,FORWARD,-p tcp,-,dport,20:21,-j DROP,禁止内网的,10.10.1.0/24,子网里所有的客户机使用,FTP,协议下载,TCP,标记匹配,用于检查数据包的,TCP,标记位(,-tcp-flags,),以便有选择的过滤不同类型的,TCP,数据包,使用格式为“,-tcp-flags,检查范围,被设置的标记,”。,“检查范围”,用于指定要检查哪些标记(可识别的标记有:,SYN,,,ACK,,,FIN,,,RST,,,URG,,,PSH,),“,被设置的标记,”,指定在“检查范围”中出现过且被设为,1,(即状态是打开的)的标记。,#,iptables,-,I,INPUT,-p tcp,-tcp-flags,!,SYN,FIN,ACK SYN,-j DROP,禁止那些,FIN,和,ACK,标记被设置而,SYN,标记未设置的数据包,任务,14-3 iptables,命令的基本使用,ICMP,类型匹配,以“,-p icmp”,协议匹配为前提,用于检查,ICMP,数据包的类型(,-icmp-type,),以便有选择的过滤不同类型的,ICMP,数据包。,使用格式为“,-,icmp-type,ICMP,类型,”。,“,ICMP,类型,”,可为:“,Echo-Request”,、“,Echo-Reply”,、“,Destination-Unreachable”,分别对应,ICMP,协议的请求、回显、目标不可达数据。,#,iptables,-A INPUT,-p icmp,-icmp-type Echo-Request,-j DROP,#,iptables,-A INPUT,-p icmp,-icmp-type Echo-Reply,-j,ACCEPT,#,iptables,-A INPUT,-p icmp,-icmp-type Destination-Unreachable -,j,ACCEPT,禁止其他主机,ping,到本服务器,但允许从本服务器上,ping,其他主机(允许接收,ICMP,回应数据包)。,任务,14-3 iptables,命令的基本使用,显式条件匹配,这种匹配的功能需要由额外的内核模块提供,因此需要在,iptables,命令中使用“,-m,模块关键字”的形式调用相应功能的内核模块。,常见的显式条件匹配有:,MAC,地址匹配,非连续的多端口匹配,多,IP,地址匹配,状态检测匹配。,#,iptables,-,I,FORWARD,-m mac,-,mac-source 00-19-21-F1-83-C7,-j DROP,禁止转发来自,MAC,地址为,00-19-21-F1-83-C7,的主机的数据包。,#,iptables,-,I INPUT,-p tcp,-m multiport,-dport 20,21,53,-j ACCEPT,允许开放本机的,20,、,21,、,53,等,TCP,端口。,任务,14-3 iptables,命令的基本使用,7,规则的保存与恢复,使用,iptables,命令手工进行的设置在系统中是即时生效的,但如果不进行保存将在系统下次启动时丢失。,保存防火墙规则,命令,1,:,service iptables save,将当前正在运行的防火墙规则,保存到“,/etc/sysconfig/iptables”,文件中,文件原有的内容将被覆盖。,iptables,每次启动或重启时都使用,/etc/sysconfig/iptables,文件中所提供的规则进行规则恢复。,在保存防火墙当前配置前应先将原有配置进行备份,cp,/etc/sysconfig/iptables,iptables.raw,任务,14-3 iptables,命令的基本使用,命令,2,:,iptables-save,将配置信息显示到标准输出,(,屏幕,),中,命令,3,:,iptables-save,路径,/,文件名,将显示到标准输出(屏幕)中的当前正在运行的防火墙规则配置信息重定向保存到指定目录的指定文件中。,service iptables save,命令等效于,iptables-save /etc/sysconfig/iptables,命令;使用,iptables-save,命令可以将多个版本的配置保存到不同的文件中。,#,iptables-save,/etc/sysconfig/ipt.v1.0,#,service,iptables save,将当前运行的防火墙规则先后保存到用户指定的配置文件和系统默认的配置文件。,任务,14-3 iptables,命令的基本使用,恢复防火墙规则,命令:,iptables-restore,/etc/sysconfig/iptables,#,service,iptables,restart,任务,14-3 iptables,命令的基本使用,禁止某机,(物理机),Ping,防火墙所在主机,(虚拟机),service iptables start,启动防火墙,iptables -F,清空所有规则,iptables,-A INPUT-p icmp,-s 172.16.102.,X,-j DROP,禁止除某机以外的其他主机,Ping,防火墙所在的主机,iptables,-D INPUT 1,iptables,-A INPUT-p icmp,-s !172.16.102.,X,-j DROP,禁止本网段以外的主机,ping,本机,iptables,-D INPUT 1,iptables,-A INPUT,-s !172.16.102.0/24,-p icmp,-j DROP,禁止所有人,Ping,本机,iptables,-D INPUT 1,iptables,-A INPUT,-p icmp,-j DROP,实例,1,管理,icmp,任务,14-3 iptables,命令的基本使用,实例,2,设置远程登录限制,初始化:,iptables,-P INPUT,DROPiptables,-P OUTPUT,DROPiptables,-P FORWARD,DROP,iptables,F,iptables,X,仅允许某机,172.16.102.36,使用,ssh,连接防火墙,iptables,-A INPUT,-s 172.16.102.,X,-p tcp,-dport 22,-j ACCEPT,iptables,-A OUTPUT,-d 172.16.102.,X,-p tcp,-sport 22,-j DROP,任务,14-3 iptables,命令的基本使用,实例,3,作为专门,WEB,服务器终端的配置,1.,初始化防火墙,,清除任何以前配置的规则,iptables -F,/,清除,filter,规则表中的所有规则,iptables -X,/,清除,filter,规则表中的自定义规则链,iptables -Z,/,将指定表中的数据包计数器和流量计数器归零,2.,使客户机能远程登录访问服务器,iptables,-A INPUT,-p tcp,-d 172.16.102.,X+60,-dport 22,-j ACCEPT,iptables,-A OUTPUT,-p tcp,-s 172.16.102.,X+60,-sport 22,-j ACCEPT,任务,14-3 iptables,命令的基本使用,3.,把所有默认策略设置为,DROP,iptables,-P INPUT,DROPiptables,-P OUTPUT,DROPiptables,-P FORWARD,DROP,4.,让本机的回环设备可以使用,iptables,-,I,INPUT 1,-i lo,-p all,-j ACCEPT,iptables,-,I,OUTPUT 1,-o lo,-j ACCEPT,没有上述两条规则时,系统启动会卡住,5.,客户机通过,80,端口访问,WEB,服务器,iptables,-A INPUT,-p tcp,-sport 80,-j ACCEPT,iptables,-A OUTPUT,-p tcp,-dport 80,-j ACCEPT,6.,使防火墙能够解析进出来的包,iptables,-A INPUT,-p udp,-sport 53,-j ACCEPT,iptables,-A OUTPUT,-p udp,-dport 53,-j ACCEPT,7.,保存设置,service,iptables,save,任务,14-3 iptables,命令的基本使用,请在启动,linux,系统之前添加第二块网卡,第,1,步,:启动虚拟机软件,第,2,步,:添加第二块网卡,在虚拟机软件菜单上点击,“,虚拟机,”,“,设置,”,点击,”,添加,”,点击,“,网络适配器,”,点击,“,下一步,”,选择,“,网桥,”,点击,“,完成,”,”,确定,”,第,3,步,:启动,RHEL5,第,4,步,:配置,IP,地址,第一块网卡,eth0,:,172.16.102.,X,+60,第二块网卡,eth1,:,10.10.1.,X,/24,其中:,X,为物理机网卡,IP,地址的第,4,段,任务,14-3 iptables,命令的基本使用,任务,14-4,使用,iptables,实现,NAT,服务,公网地址与私网地址,IP,地址的分配与管理由,ICANN,管理机构负责,公网地址必须经申请后才能合法使用。,为解决,IP,地址资源紧缺问题,,IANA,机构将,IP,地址划分了一部分出来,将其规定为私网地址,只能在局域网内使用,不同局域网可重复使用。,可使用的私网地址有:,一个,A,类地址:,10.0.0.0/8,16,个,B,类地址:,172.16.0.0/16172.31.0.0/16,256,个,C,类地址:,192.168.0.0/16,。,1,NAT,服务的概念及分类,为了解决使用私网地址的局域网用户访问因特网的问题,从而诞生了网络地址转换(,NAT,)技术。,NAT,(,Network AddressTranslation,,网络地址转换)是一种用另一个地址来替换,IP,数据包头部中的源地址或目的地址的技术。,通过网络地址转换操作,局域网用户就能透明地访问因特网,通过配置静态地址转换,位于因特网中的主机还能实现对局域网内特定主机的访问。,任务,14-4,使用,iptables,实现,NAT,服务,目前几乎所有防火墙的软硬件产品都集成了,NAT,功能,,iptables,也不例外。,根据,NAT,替换数据包头部中地址的不同,,NAT,分为,源地址转换,SNAT,(,IP,伪装),目的地址转换,DNAT,两大类。,任务,14-4,使用,iptables,实现,NAT,服务,SNAT,策略的原理,未使用,SNAT,策略时的情况,源地址:,10.10.1.1,目标地址:,218.29.30.29,HTTP,请求,HTTP,请求,HTTP,应答,源地址:,10.10.1.1,目标地址:,218.29.30.29,源地址:,218.29.30.29,目标地址:,10.10.1.1,eth0:218.29.30.31,Internet,中的,Web,服务器,218.29.30.29,无法正确路由,路由转发,局,域网客户端,10.10.1.1,eth1:10.10.1.254,Linux,网关服务器,任务,14-4,使用,iptables,实现,NAT,服务,SNAT,策略的原理,在网关中使用,SNAT,策略以后,源地址:,10.10.1.1,目标地址:,218.29.30.29,HTTP,请求,HTTP,应答,源地址:,218.29.30.31,目标地址:,218.29.30.29,源地址:,218.29.30.29,目标地址:,218.29.30.31,Linux,网关服务器,Internet,中的,Web,服务器,218.29.30.29,SNAT,转换,局域网客户端,10.10.1.1,源地址:,218.29.30.29,目标地址:,10.10.1.1,HTTP,请求,eth1:10.10.1.254,eth0:218.29.30.31,任务,14-4,使用,iptables,实现,NAT,服务,局域网用户的访问请求报文中的源地址是私网地址,报文在进入因特网后,将被因特网中的路由器丢弃。,利用网络地址转换技术,在报文离开局域网的边界路由器进入因特网之前,对报文中的源地址进行替换修改,将其替换修改为某一个合法的公网地址,这样报文就能在因特网中被正常路由和转发了,访问就会获得成功。,这种对报文中的源地址或目的地址进行替换修改的操作,就称为网络地址转换。,任务,14-4,使用,iptables,实现,NAT,服务,2.,使用,SNAT,实现使用私网,IP,的多台主机共享上网,为落实上述,SNAT,技术的结果,要在,NAT,服务器上完成以下两个操作,:,任务,14-4,使用,iptables,实现,NAT,服务,步骤,1,:开启,Linux,内核,IP,报文转发功能,允许,NAT,服务器上的,eth0,和,eth1,两块网卡之间能相互转发数据包。其开启方法为:,方法,1,:,编辑,/etc/sysctl.conf,配置文件,将“,net.ipv4.ip_forward=0”,配置项,修改为:,net.ipv4.ip_forward=1,#,sysctl,-p,/etc/sysctl.conf,方法,2,:执行命令:,#,echo 1 /proc/sys/net/ipv4/ip_forward,#,sysctl,-p,/etc/sysctl.conf,使,sysctl.conf,的修改立即生效,任务,14-4,使用,iptables,实现,NAT,服务,步骤,2,:,添加使用,SNAT,策略的防火墙规则,当,NAT,服务器的外网接口配置的是固定的公网,IP,地址,#,iptables,-t nat,-A POSTROUTING,-s 10.10.1.0/24,-o eth0,-j SNAT,-to-source 172.16.102.,60+X,当,NAT,服务器通过,ADSL,拨号方式连接,Internet,,即外网接口获取的是动态公网,IP,地址:,#,iptables,-t nat,-A POSTROUTING,-s 10.10.1.0/24 -o ppp0 -j MASQUERADE,任务,14-4,使用,iptables,实现,NAT,服务,DNAT,策略的原理,在网关中使用,DNAT,策略发布内网服务器,源地址:,218.29.30.29,目标地址:,218.29.30.31,HTTP,请求,Internet,中的,客户机,218.29.30.29,Linux,网关服务器,局域网内的,Web,服务器,10.10.1.1,HTTP,应答,源地址:,218.29.30.31,目标地址:,218.29.30.29,DNAT,转换,HTTP,请求,HTTP,应答,源地址:,218.29.30.29,目标地址:,10.10.1.1,源地址:,10.10.1.1,目标地址:,218.29.30.29,eth0,:,218.29.30.31,eth0,:,218.29.30.31,任务,14-4,使用,iptables,实现,NAT,服务,3.,使用,DNAT,实现向公网发布私网的应用服务器,步骤,1,:,确认已开启网关的路由转发功能(方法同上),步骤,2,:,添加使用,DNAT,策略的防火墙规则。若发布的是,Web,服务器,其命令如下:,#,iptables,-t nat,-A PREROUTING,-p tcp,-i eth0,-d,172.16.102.60+X,-,dport 80,-j DNAT,-,to-destination,10,.10.1.,X,任务,14-4,使用,iptables,实现,NAT,服务,NAT,配置案例,1,、企业环境,注意,:,内部网的计算机网关要设置为防火墙的内网卡的,ip(10.10.1.254),任务,14-4,使用,iptables,实现,NAT,服务,需求分析,所有内网计算机要访问互联网,Mail,和,FTP,服务器对内部员工开放,对外发布,Web,站点,管理员通过外网对,Web,站点进行远程管理,首先删除所有规则设置,将默认规则设置为,DROP,然后开启防火墙对于客户端的访问限制,打开,WEB,、,MSN,、,QQ,及,MAIL,的相应端口,允许外部客户端登录,WEB,服务器的,80,、,22,端口。,任务,14-4,使用,iptables,实现,NAT,服务,解决方案,1.,安装,iptables,2.,查看本机关于,iptables,的设置情况,#iptables-L-n,3.,清除原有规则,不管你在安装,linux,时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在,filter,的所有规则,.,iptables F,清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则,iptables X,清除预设表,filter,中使用者自定链中的规则,iptables Z,清除预设表,filter,中使用者自定链中的规则,任务,14-4,使用,iptables,实现,NAT,服务,4.,设置默认策略,iptables,P INPPUT,DROP,iptables,P FORWARD,DROP,iptables,P OUTPUT,ACCEPT,iptables,t nat,P PREROUTING,ACCEPT,iptables,t nat,P OUTPUT,ACCEPT,iptables,t nat,P POSTROUTING,ACCEPT,设置默认策略为关闭,filter,表的,INPPUT,及,FORWARD,链开启,OUTPUT,链,,nat,表的三个链,PREROUTING,、,OUTPUT,、,POSTROUTING,全部开启哈,默认全部链都是开启的,所以有些命令可以不操作,另外,mangle,表本文没用到,所以不做处理,,mangle,主要用在数据包的特殊变更处理上,比如修改,TOS,等特性。,任务,14-4,使用,iptables,实现,NAT,服务,5.,设置回环地址,iptables,-A INPUT,-i lo,-j ACCEPT,有些服务的测试需要使用回环地址,为了保证各个服务的正常工作,需要允许回环地址的通信。,6.,连接状态设置,iptables,-A INPUT,-m state,-state ESTABLISHED,RELATED,-j ACCEPT,为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置,连接跟踪存在四种数据包状态,NEW,想要新建连接的数据包,INVALID,无效的数据包,例如损坏或者不完整的数据包,ESTABLISHED,已经建立连接的数据包,RELATED,与已经发送的数据包有关的数据包,任务,14-4,使用,iptables,实现,NAT,服务,7.,设置,80,端口转发,iptables,-A FORWARD,-p tcp,-dport 80,-j ACCEPT,公司网站需要对外开放,需要开放,80,端口,8.DNS,相关设置,iptables,-A FORWARD,-p tcp,-dport 53,-j ACCEPT,iptables,-A FORWARD,-p udp,-dport 53,-j ACCEPT,为了客户端能够正常使用域名访问互联网,需要允许内网计算机与外部,DNS,服务器的数据转发。,开启,DNS,使用,UDP,、,TCP,的,53,端口,任务,14-4,使用,iptables,实现,NAT,服务,9.,允许,管理员通过外网进行远程管理,开启,22,端口,iptables,-A INPUT,-p tcp,-dport 22,-j ACCEPT,iptables,-A OUTPUT,-p tcp,-sport 22,-j ACCEPT,10.,允许内网主机登录,MSN,和,QQ,相关设置,iptables,-A FORWARD,-p tcp,-dport 1863,-j ACCEPT,iptables,-A FORWARD,-p tcp,-dport 443,-j ACCEPT,iptables,-A FORWARD,-p tcp,-dport 8000,-j ACCEPT,iptables,-A FORWARD,-p
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员

开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服