防火墙与代理服务器(课堂PPT).ppt

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,.,*,Linux,网络操作系统与实训（第,2,版）,中国铁道出版社,孙丽娜 孔令宏 杨 云 主编,李,斌,姜庆玲,梁明亮,副主编,1,.,教材地址：,&Linux,教师交流群：,189934741,2,第,15,章,防火墙与代理服务器,1,.,项目课题引入,2,.,防火墙概述,3,.iptables,4,.,NAT,5,.squid,代理服务器,3,课题引入,项目背景,假设某单位租用,DDN,专线上网。网络拓扑如下图所示

2、iptables,防火墙的,eth0,接口连接外网，,IP,地址为,222.206.160.100,；,eth1,接口连接内网，,IP,地址为,192.168.1.1,。假设在内网中存在,WEB,、,DNS,和,E-mail3,台服务器，这,3,台服务器都有公有,IP,地址。其,IP,地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此,3,台服务器。,4,课题引入,项目分析,完成本项目需要解决的问题：,1,、什么是防火墙,其工作原理是什么,2,、如何使用,Iptables,进行防火墙设置,3,、如何配置包过滤防火墙,4,、如何实现,NAT,5、,什么是代理服务器

3、其工作原理是什么,6,、,squid,代理服务器的安装、启动与运行方法,7,、,squid,服务器的配置方法,8,、透明代理的配置方法,5,课题引入,教学目标,学习本课需要实现的教学目标：,掌握防火墙的概念和工作原理,掌握,Iptables,的结构和配置方法,掌握包过滤防火墙的配置方法,掌握,NAT,的配置方法,掌握代理服务器的工作原理,掌握代理服务器的启动与停止方法,掌握代理服务器配置文件的修改方法,掌握代理服务器的配置方法,掌握透明代理的配置方法,6,课题引入,应达到的职业能力,学生学习本课后应该具有的职业能力：,掌握为企业设计防火墙的能力,掌握,Linux,下,Iptables,的配置

4、方法,掌握包过滤防火墙的配置能力,掌握,NAT,的配置能力,进行,squid,代理服务器的配置能力,进行透明代理服务器的配置能力,具有较好的团队合作能力,7,15.1 防火墙概述,15.1.1,防火墙的概念,8,15.1 防火墙概述,15.1.2 iptables,简介,9,15.2 iptables,15.2.2 iptables,工作原理,10,15.2 iptables,15.2.2 iptables,工作原理,11,15.2 iptables,15.2.2 iptables,工作原理,12,15.2 iptables,15.2.2 iptables,工作原理,netfilter,的,5

5、条链相互地关联，如图,15-1,所示。,13,15.2 iptables,15.2.2 iptables,工作原理,14,15.2 iptables,15.2.2 iptables,工作原理,15,15.2 iptables,15.2.2 iptables,工作原理,2,iptables,工作流程,16,15.2 iptables,15.2.2 iptables,工作原理,17,15.2 iptables,15.2.3,安装,iptables,18,15.2 iptables,15.2.3,安装,iptables,19,15.2.4 iptables,命令,15.2 iptables,20,

6、15.2 iptables,15.2.4 iptables,命令,21,15.2 iptables,15.2.4 iptables,命令,22,15.2 iptables,15.2.4 iptables,命令,23,15.2 iptables,15.2.4 iptables,命令,24,15.2 iptables,15.2.5 iptables,命令使用举例,25,15.2 iptables,15.2.5 iptables,命令使用举例,26,15.2 iptables,15.2.5 iptables,命令使用举例,27,15.2 iptables,15.2.5 iptables,命令使用举例

7、28,15.2 iptables,15.2.5 iptables,命令使用举例,29,15.3 NAT,15.3.1 NAT,的基本知识,NAT,的工作过程：,（,1,）客户机将数据包发给运行,NAT,的计算机。,（,2,）,NAT,将数据包中的端口号和专用的,IP,地址换成它自己的端口号和公用的,IP,地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。,（,3,）外部网络发送回答信息给,NAT,。,（,4,）,NAT,将所收到的数据包的端口号和公用,IP,地址转换为客户机的端口号和内部网络使用的专用,IP,地址并转发给客户机。,30,15.

8、3 NAT,15.3.1 NAT,的基本知识,NAT,的工作过程示意图：,31,15.3 NAT,15.3.1 NAT,的基本知识,NAT,的分类：,（,1,）源,NAT,（,Source NAT,，,SNAT,）。,SNAT,指修改第一个包的源,IP,地址。,SNAT,会在包送出之前的最后一刻做好,Post-Routing,的动作。,Linux,中的,IP,伪装（,MASQUERADE,）就是,SNAT,的一种特殊形式。,（,2,）目的,NAT,（,Destination NAT,，,DNAT,）。,DNAT,是指修改第一个包的目的,IP,地址。,DNAT,总是在包进入后立刻进行,Pre-R

9、outing,动作。端口转发、负载均衡和透明代理均属于,DNAT,。,32,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,用户根据规则所处理的信息包类型，使用,iptables,命令设置,NAT,规则：,要做源,IP,地址转换的数据包的规则被添加到,POSTROUTING,链中。,要做目的,IP,地址转换的数据包的规则被添加到,PREROUTING,链中。,直接从本地出去的数据包的规则被添加到,OUTPUT,链中。,33,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,数据包穿越,NAT,的工作流程示意图：,34,15.3 NAT,15.3.2,使

10、用,Iptables,实现,NAT,【,例,15-10】,假设某企业网中,NAT,服务器安装了双网卡，,eth0,连接外网，,eth1,连接内网，,IP,地址为,192.168.0.1,。企业内部网络的客户机都只有私有,IP,地址。利用,NAT,服务使企业内部网络的计算机能够连接,Internet,网络,。,35,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,假设,eth0,的,IP,地址是静态分配的。公网,IP,地址池为,222.206.160.100-222.206.160.150,。此时应作,SNAT,，,iptables,命令的,-j,参数的语法格式为：,-j

11、SNAT -to-source/-to IP1-IP2:port1-port2,配置步骤：,打开,Linux,的内核转发功能。,rootServer#echo“1”/proc/sys/net/ipv4/ip_forward,实现,SNAT,。,rootServer#iptables t nat A POSTROUTING p tcp o eth0 j SNAT-to 222.206.160.100-222.206.160.150:1025:30000,36,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,假设连接外网的接口是利用,ADSL,拨号连接的,ppp0,。此时应作

12、IP,伪装，,iptables,命令的,-j,参数的语法格式为：,-j MASQUERADE,配置步骤：,打开,Linux,的内核转发功能。,rootServer#echo“1”/proc/sys/net/ipv4/ip_forward,实现,IP,伪装。,rootServer#iptables t nat A POSTROUTING o ppp0 -j MASQUERADE,37,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,【,例,15-11】,假设某企业网中,NAT,服务器安装了双网卡，,eth0,连接外网，,IP,地址为,222.206.160.100,。,e

13、th1,连接内网，,IP,地址为,192.168.0.1,。企业内部网络,WEB,服务器的,IP,地址为,192.168.1.2,。要求当,Internet,网络中的用户在浏览器中输入,222.206.160.100,时可以访问到内网的,WEB,服务器。,38,15.3 NAT,15.3.2,使用,Iptables,实现,NAT,根据题目要求可知，此时应作,DNAT,。,iptables,命令的,-j,参数的语法格式为：,-j DNAT -to-destination/-to IP1-IP2:port1-port2,实现,DNAT,的配置语句：,#iptables t nat A PREROU

14、TING p tcp d 222.206.160.100-dport 80 j DNAT-to 192.168.1.2:80,或者：,#iptables t nat A PREROUTING p tcp i eth0-dport 80 j DNAT-to 192.168.1.2:80,39,15.4 squid代理服务器,15.4.1,代理服务器的工作原理,40,15.4 squid代理服务器,15.4.1,代理服务器的工作原理,41,15.4 squid代理服务器,15.4.2,代理服务器的,作用,（,1,）提高访问速度。,（,2,）用户访问限制。,（,3,）安全性得到提高。,42,15.4

15、 squid代理服务器,15.4.3,安装、启动与停止,Squid,服务,43,15.4 squid代理服务器,15.4.3,安装、启动与停止,Squid,服务,44,15.4 squid代理服务器,15.4.3,安装、启动与停止,Squid,服务,45,15.4 squid代理服务器,15.4.3,安装、启动与停止,Squid,服务,46,15.4 squid代理服务器,15.4.4,配置,squid,服务器,1,几个常用的选项,（,1,）,http_port 3128,。,http_port 192.168.2.254:8080,（,2,）,cache_mem 512MB,。,内存缓冲设置

16、是指需要使用多少内存来作为高速缓存。,（,3,）,cache_dir ufs /var/spool/squid 4096 16 256,。,用于指定硬盘缓冲区的大小。,（,4,）,cache_effective_user squid,。,设置使用缓存的有效用户。,cache_effective_user nobody,（,5,）,cache_effective_group squid,。,设置使用缓存的有效用户组，默认为,squid,组，也可更改。,47,15.4 squid代理服务器,15.4.4,配置,squid,服务器,1,几个常用的选项,（,6,）,dns_nameservers 22

17、0.206.160.100,。,设置有效的,DNS,服务器的地址。,（,7,）,cache_access_log /var/log/squid/access.log,。,设置访问记录的日志文件。,（,8,）,cache_log/var/log/squid/cache.log,。,设置缓存日志文件。该文件记录缓存的相关信息。,（,9,）,cache_store_log/var/log/squid/store.log,。,设置网页缓存日志文件。网页缓存日志记录了缓存中存储对象的相关信息，例如存储对象的大小、存储时间、过期时间等。,48,15.4 squid代理服务器,15.4.4,配置,squid

18、服务器,1,几个常用的选项,（,10,）,visible_hostname 192.168.0.3,。,visible_hostname,字段用来帮助,Squid,得知当前的主机名，如果不设置此项，在启动,Squid,的时候就会碰到“,FATAL,：,Could not determine fully qualified hostname,Please set visible hostname”,这样的提示。当访问发生错误时，该选项的值会出现在客户端错误提示网页中。,（,11,）,cache_mgr master,。,设置管理员的邮件地址。当客户端出现错误时，该邮件地址会出现在网页提示中，这

19、样用户就可以写信给管理员来告知发生的事情。,49,15.4 squid代理服务器,15.4.4,配置,squid,服务器,2,设置访问控制列表,50,15.4 squid代理服务器,15.4.4,配置,squid,服务器,51,15.4 squid代理服务器,15.4.4,配置,squid,服务器,52,15.4 squid代理服务器,15.4.4,配置,squid,服务器,53,15.4 squid代理服务器,15.4.4,配置,squid,服务器,54,15.4 squid代理服务器,15.4.4,配置,squid,服务器,55,15.4 squid代理服务器,15.4.5,配置透明代理,

20、56,15.4 squid代理服务器,15.4.4,配置,squid,服务器,57,15.4 squid代理服务器,15.4.6 squid,服务器配置实例,58,15.4 squid代理服务器,15.4.4,配置,squid,服务器,59,15.4 squid代理服务器,15.4.4,配置,squid,服务器,60,15.4 squid代理服务器,15.4.4,配置,squid,服务器,61,15.4 squid代理服务器,15.4.4,配置,squid,服务器,62,15.4 squid代理服务器,15.4.4,配置,squid,服务器,63,总结,本项目的解决方案,:,/1.,清空所有的

21、链规则,rootServer#iptables -F,/2.,禁止,iptables,防火墙转发任何数据包,rootServer#iptables -P FORWARD DROP,/3.,建立来自,Internet,网络的数据包的过滤规则,#iptables-A FORWARD p tcp d 222.206.100.2 p tcp -dport 80 -i eth0 -j ACCEPT,#iptables-A FORWARD p tcp d 222.206.100.3 -p tcp -dport 53 -i eth0 -j ACCEPT,#iptables-A FORWARD p tcp d

22、 222.206.100.4 -p tcp -dport 25 -i eth0 -j ACCEPT,#iptables-A FORWARD p tcp d 222.206.100.4 -p tcp -dport 110 -i eth0 -j ACCEPT,/4.,接受来自内网的数据包通过,rootServer#iptables -A FORWARD s 222.206.100.0/24 j ACCEPT,/5.,对于所有的,ICMP,数据包进行限制，允许每秒通过一个数据包，该限制的触发条件是,10,个包,rootServer#iptables-A FORWARD-p icmp-m limit-

23、limit 1/s-limit-burst 10-j ACCEPT,64,作业,1,根据如下防火墙配置的需求,写出配置命令,:,设置,filter,表中,3,个链的默认策略为拒绝,查看所有链的规则列表,添加一个用户自定义的链,custom1,向,filter,表的,INPUT,链的最后添加一条规则，对来自,192.168.1.10,这台主机的数据包丢弃,向,filter,表中的,INPUT,链的第,3,条规则前面插入一条规则，允许来自于非,192.168.3.0/24,网段的主机对本机的,25,端口的访问,65,作业,2,John,计划在他的局域网建立防火墙，防止,Internet,直接进入局域网，反之亦然。在防火墙上他不能用包过滤或,SOCKS,程序,.,而且他想要提供给局域网用户仅有的几个,Internet,服务和协议,请选择合适的防火墙,并写出配置过程,假设要控制来自,IP,地址,199.88.77.66,的,ping,命令，请写出,iptables,命令,如果想要防止,199.88.77.0/24,网络用,TCP,分组连接端口,21,，请写出,iptables,命令,66,本章小结,防火墙的分类及工作原理,Iptables,防火墙的配置,NAT,SQUID,代理服务器的配置,透明代理的实现,67,一、录像位置,