學(xué)習(xí)情境項目管理與維護(hù)Iptables防火墻PPT學(xué)習(xí)教案

1、會計學(xué)1學(xué)習(xí)情境項目管理與維護(hù)學(xué)習(xí)情境項目管理與維護(hù)Iptables防火墻防火墻 1. 項目課題引入 2. 防火墻的工作原理 3. 防火墻的配置與管理 4. NAT的配置 5. 現(xiàn)場演示案例第1頁/共41頁第2頁/共41頁第3頁/共41頁第4頁/共41頁第5頁/共41頁第6頁/共41頁 包過濾型防火墻有兩種基本的默認(rèn)訪問控制策略：一種是先禁止所有的數(shù)據(jù)包通過，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過。一種是先允許所有的數(shù)據(jù)包通過，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過。第7頁/共41頁 第8頁/共41頁第9頁/共41頁包過濾型防火墻原理圖 包過濾規(guī)則檢查內(nèi)容：包過濾規(guī)則檢查內(nèi)容：源、目標(biāo)IP

2、地址TCP和UDP的源、目的端口號協(xié)議類型ICMP消息類型TCP報頭中的ACK位、序列號、確認(rèn)號IP校驗和第10頁/共41頁個組件組成。第11頁/共41頁第12頁/共41頁條或數(shù)條規(guī)則。當(dāng)數(shù)據(jù)包到達(dá)一條鏈時，會從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則將繼續(xù)檢查下一條規(guī)則。如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，會根據(jù)該鏈預(yù)先定義的默認(rèn)策略處理數(shù)據(jù)包。第13頁/共41頁第14頁/共41頁第15頁/共41頁第16頁/共41頁第17頁/共41頁第18頁/共41頁第19頁/共41頁第20頁/共41頁【例15-1】清除所有鏈中的

3、規(guī)則 。第21頁/共41頁【例15-2】設(shè)置filter表中3個鏈的默認(rèn)策略為拒絕 ?！纠?5-3】查看所有鏈的規(guī)則列表 。第22頁/共41頁【例15-4】添加一個用戶自定義的鏈custom 。第23頁/共41頁【例15-5】向filter表的INPUT鏈的最后添加一條規(guī)則，對來自這臺主機(jī)的數(shù)據(jù)包丟棄 。第24頁/共41頁【例15-6】向filter表中的INPUT鏈的第3條規(guī)則前面插入一條規(guī)則，允許來自于非網(wǎng)段的主機(jī)對本機(jī)的25端口的訪問 。第25頁/共41頁【例15-7】向filter表的INPUT鏈中添加一條規(guī)則，拒絕外界主機(jī)訪問本機(jī)tcp協(xié)議的100至1024端口。第26頁/共41頁【

4、例15-8】向filter表的INPUT鏈中添加一條規(guī)則，拒絕來自其他主機(jī)的ping請求 。第27頁/共41頁第28頁/共41頁第29頁/共41頁第30頁/共41頁第31頁/共41頁第32頁/共41頁第33頁/共41頁【例15-10】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)的客戶機(jī)都只有私有IP地址。利用NAT服務(wù)使企業(yè)內(nèi)部網(wǎng)絡(luò)的計算機(jī)能夠連接Internet網(wǎng)絡(luò)。 第34頁/共41頁假設(shè)eth0的IP地址是靜態(tài)分配的。公網(wǎng)IP地址池為222.206.160.100-222.206.160.150 。此時應(yīng)作SNAT，iptables

5、命令的-j參數(shù)的語法格式為： -j SNAT -to-source/-to IP1-IP2:port1 -port2 配置步驟：打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實現(xiàn)SNAT。 rootRHEL4 # iptables t nat A POSTROUTING p tcp o eth0 j SNAT -to 222.206.160.100-222.206.160.150:1025:30000 第35頁/共41頁假設(shè)連接外網(wǎng)的接口是利用ADSL撥號連接的ppp0。 此時應(yīng)作IP偽裝，iptables命

6、令的-j參數(shù)的語法格式為： -j MASQUERADE 配置步驟：打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實現(xiàn)IP偽裝。rootRHEL4 # iptables t nat A POSTROUTING o ppp0 -j MASQUERADE 第36頁/共41頁【例15-11】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，IP地址為。eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)WEB服務(wù)器的IP地址為。要求當(dāng)Internet網(wǎng)絡(luò)中的用戶在瀏覽器中輸入時可以訪問到內(nèi)網(wǎng)的WEB服務(wù)器。第37頁/共41頁根據(jù)題目要求可知，此時應(yīng)作DNAT。iptables命令的-j參數(shù)的語法格式為： -j DNAT -to-destination/-to IP1-IP2:port1 -port2 實現(xiàn)DNAT的配置語句： # iptables t nat A PREROUTING p tcp d 222.206.160.100 -dport 80 j DNAT -to 192.168.1.2:80或者：#