項目14防火墻與squid代理服務(wù)器的搭建

項目14防火墻與squid代理服務(wù)器的搭建2024/3/29項目14防火墻與squid代理服務(wù)器的搭建項目14防火墻與squid代理服務(wù)器的搭建【職業(yè)知識目標(biāo)】了解:防火墻的基本概念、分類與作用；Squid代理服務(wù)器的分類及特點熟悉:Linux防火墻的架構(gòu)及包過濾的匹配流程掌握:iptables命令的格式和使用；NAT的配置方法；【職業(yè)能力目標(biāo)】會安裝iptables軟件包；能使用iptables命令設(shè)置包過濾規(guī)則會配置NAT服務(wù)會安裝Squid軟件包會架設(shè)普通代理、透明代理和反向代理服務(wù)器會在客戶端測試iptables和Squid的配置情況項目14防火墻與squid代理服務(wù)器的搭建14.1項目背景信息安全始終是企業(yè)信息化中一個不可忽視的重要方面;而如何在保障企事業(yè)內(nèi)部網(wǎng)絡(luò)安全的同時為內(nèi)網(wǎng)和外網(wǎng)(互聯(lián)網(wǎng))的用戶提供高效、安全、穩(wěn)定可靠的訪問服務(wù),是網(wǎng)絡(luò)管理員所考慮的問題。RHEL5內(nèi)置的iptables防火墻和代理服務(wù)器則為我們提供了一種物美價廉的解決方案。項目14防火墻與squid代理服務(wù)器的搭建14.2項目知識準(zhǔn)備14.2.1認(rèn)識防火墻(firewall)1．什么是防火墻

防火墻——是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。項目14防火墻與squid代理服務(wù)器的搭建2.防火墻的功能①過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,封堵某些禁止的訪問行為②對進(jìn)出網(wǎng)絡(luò)的訪問行為作出日志記錄,并提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù),實現(xiàn)對網(wǎng)絡(luò)存取和訪問的監(jiān)控審計。③對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑,并通知防火墻管理員。④提供數(shù)據(jù)包的路由選擇和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),從而解決局域網(wǎng)中主機(jī)使用內(nèi)部IP地址也能夠順利訪問外部網(wǎng)絡(luò)的應(yīng)用需求。14.2.1認(rèn)識防火墻(firewall)項目14防火墻與squid代理服務(wù)器的搭建3.防火墻的類型1）按采用的技術(shù)劃分①包過濾型防火墻——在網(wǎng)絡(luò)層或傳輸層對經(jīng)過的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的IP源地址、IP目的地址、傳輸協(xié)議(TCP、UDP、ICMP等)、TCP/UDP端口號等因素，來決定是否允許該數(shù)據(jù)包通過。（包的大小1500字節(jié)）②代理服務(wù)器型防火墻——是運行在防火墻之上的一種應(yīng)用層服務(wù)器程序，它通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層數(shù)據(jù)流的作用。14.2.1認(rèn)識防火墻(firewall)項目14防火墻與squid代理服務(wù)器的搭建2）按實現(xiàn)的環(huán)境劃分①軟件防火墻：學(xué)校、上前臺電腦的網(wǎng)吧普通計算機(jī)+通用的操作系統(tǒng)（如：linux）②硬件（芯片級）防火墻：基于專門的硬件平臺和固化在ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密，具有速度快、處理能力強(qiáng)、性能高、價格比較昂貴的特點（如：NetScreen、FortiNet）通常有三個以上網(wǎng)卡接口外網(wǎng)接口：用于連接Internet網(wǎng)；內(nèi)網(wǎng)接口：用于連接代理服務(wù)器或內(nèi)部網(wǎng)絡(luò)；DMZ接口（非軍事化區(qū)）：專用于連接提供服務(wù)的服務(wù)器群。Console口4個10/100/1000口并發(fā)連接數(shù):500000網(wǎng)絡(luò)吞吐量:1100Mbps過濾帶寬:250Mbps

CheckPointUTM-1570

14.2.1認(rèn)識防火墻(firewall)項目14防火墻與squid代理服務(wù)器的搭建14.2.2Linux防火墻概述1．Linux防火墻的歷史從1.1內(nèi)核開始，Linux系統(tǒng)就已經(jīng)具有包過濾功能了，隨著Linux內(nèi)核版本的不斷升級，Linux下的包過濾系統(tǒng)經(jīng)歷了如下3個階段：在2.0內(nèi)核中，包過濾的機(jī)制是ipfw，管理防火墻的命令工具是ipfwadm。在2.2內(nèi)核中，包過濾的機(jī)制是ipchain，管理防火墻的命令工具是ipchains。在2.4之后的內(nèi)核中，包過濾的機(jī)制是netfilter，防火墻的命令工具是iptables。項目14防火墻與squid代理服務(wù)器的搭建2．Linux防火墻的架構(gòu)Linux防火墻系統(tǒng)由以下兩個組件組成：

①netfilter：

netfilter是集成在內(nèi)核中的一部分作用是定義、保存相應(yīng)的過濾規(guī)則。提供了一系列的表，每個表由若干個鏈組成，而每條鏈可以由一條或若干條規(guī)則組成。netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。表→鏈→規(guī)則的分層結(jié)構(gòu)來組織規(guī)則②iptables：是Linux系統(tǒng)為用戶提供的管理netfilter的一種工具，是編輯、修改防火墻（過濾）規(guī)則的編輯器通過這些規(guī)則及其他配置，告訴內(nèi)核的netfilter對來自某些源、前往某些目的地或具有某些協(xié)議類型的數(shù)據(jù)包如何處理。這些規(guī)則會保存在內(nèi)核空間之中。14.2.2Linux防火墻概述項目14防火墻與squid代理服務(wù)器的搭建表→鏈→規(guī)則的分層結(jié)構(gòu)來組織規(guī)則14.2.2Linux防火墻概述項目14防火墻與squid代理服務(wù)器的搭建1．表（tables）專表專用filter表——包過濾含INPUT、FORWARD、OUTPUT三個鏈，nat表——包地址修改：用于修改數(shù)據(jù)包的IP地址和端口號，即進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。含PREROUTING、POSTROUTING、OUTPUT三個鏈，mangle表——包重構(gòu)：修改包的服務(wù)類型、生存周期以及為數(shù)據(jù)包設(shè)置Mark標(biāo)記，以實現(xiàn)Qos（服務(wù)質(zhì)量）、策略路由和網(wǎng)絡(luò)流量整形等特殊應(yīng)用。含PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD五個鏈，raw表——數(shù)據(jù)跟蹤：用于數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理包含PREROUTING、OUTPUT兩個鏈。14.2.3．iptables規(guī)則的分層結(jié)構(gòu)項目14防火墻與squid代理服務(wù)器的搭建2．鏈（chains）——處理的數(shù)據(jù)包流向的不同INPUT鏈——當(dāng)數(shù)據(jù)包源自外界并前往防火墻所在的本機(jī)（入站）時，即數(shù)據(jù)包的目的地址是本機(jī)時，則應(yīng)用此鏈中的規(guī)則。OUTPUT鏈——當(dāng)數(shù)據(jù)包源自防火墻所在的主機(jī)并要向外發(fā)送（出站）時，即數(shù)據(jù)包的源地址是本機(jī)時，則應(yīng)用此鏈中的規(guī)則。FORWARD鏈——當(dāng)數(shù)據(jù)包源自外部系統(tǒng)，并經(jīng)過防火墻所在主機(jī)前往另一個外部系統(tǒng)（轉(zhuǎn)發(fā)）時，則應(yīng)用此鏈中的規(guī)則。PREROUTING鏈——當(dāng)數(shù)據(jù)包到達(dá)防火墻所在的主機(jī)在作路由選擇之前，且其源地址要被修改（源地址轉(zhuǎn)換）時，則應(yīng)用此鏈中的規(guī)則。POSTROUTING鏈——當(dāng)數(shù)據(jù)包在路由選擇之后即將離開防火墻所在主機(jī)，且其目的地址要被修改（目的地址轉(zhuǎn)換）時，則應(yīng)用此鏈中的規(guī)則。用戶自定義鏈14.2.3．iptables規(guī)則的分層結(jié)構(gòu)項目14防火墻與squid代理服務(wù)器的搭建3．規(guī)則（rules）規(guī)則其實就是網(wǎng)管員預(yù)定義的過濾篩選數(shù)據(jù)包的條件。規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包”。當(dāng)數(shù)據(jù)包與規(guī)則匹配時，iptables就根據(jù)規(guī)則所定義的動作來處理這些數(shù)據(jù)包（如放行、丟棄和拒絕等）。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。學(xué)習(xí)防火墻就是學(xué)習(xí)這些規(guī)則如何去寫14.2.3．iptables規(guī)則的分層結(jié)構(gòu)項目14防火墻與squid代理服務(wù)器的搭建14.2.4．?dāng)?shù)據(jù)包過濾匹配流程表間的優(yōu)先順序依次為：raw、mangle、nat、filter鏈間的匹配順序入站數(shù)據(jù)：PREROUTING、INPUT出站數(shù)據(jù)：OUTPUT、POSTROUTING轉(zhuǎn)發(fā)數(shù)據(jù)：PREROUTING、FORWARD、POSTROUTING鏈內(nèi)規(guī)則的匹配順序按順序依次進(jìn)行檢查，找到相匹配的規(guī)則即停止（LOG策略會有例外）若在該鏈內(nèi)找不到相匹配的規(guī)則，則按該鏈的默認(rèn)策略處理項目14防火墻與squid代理服務(wù)器的搭建14.2.5代理服務(wù)器squid1．Squid代理服務(wù)器的作用Squid除了具有防火墻的代理、共享上網(wǎng)等功能外,還有以下特別的作用:

①加快訪問速度,節(jié)約通信帶寬②多因素限制用戶訪問,記錄用戶行為2．Squid代理服務(wù)器的工作流程項目14防火墻與squid代理服務(wù)器的搭建3．Squid代理服務(wù)器的分類及特點Squid代理服務(wù)器按照代理的設(shè)置方式可以分為以下三種:①普通(標(biāo)準(zhǔn))代理服務(wù)器這種代理服務(wù)器需要在客戶端的瀏覽器中設(shè)置代理服務(wù)器的地址和端口號。②透明代理服務(wù)器透明代理是NAT和代理的完美結(jié)合,之所以稱為透明,是因為在這種方式下用戶感覺不到代理服務(wù)器的存在,不需要在瀏覽器或其它客戶端工具(如網(wǎng)絡(luò)快車、QQ、迅雷等)中作任何設(shè)置,客戶機(jī)只需要將默認(rèn)網(wǎng)關(guān)設(shè)置為代理服務(wù)器的IP地址便可。③反向代理服務(wù)器普通代理和透明代理是為局域網(wǎng)用戶訪問Internet中的Web站點提供緩存代理,而反向代理恰恰相反,是為Internet中的用戶訪問企業(yè)局域網(wǎng)內(nèi)的Web站點提供緩存加速。14.2.5代理服務(wù)器squid項目14防火墻與squid代理服務(wù)器的搭建14.3項目實施任務(wù)14-1iptables服務(wù)的安裝1．安裝iptables軟件包因為netfilter/iptables的netfilter組件是與內(nèi)核集成在一起的，所以只需要安裝iptables工具，默認(rèn)情況下系統(tǒng)會安裝該軟件包，可通過下面命令檢查是否已安裝：[root@Server1~]#rpm-qa|grepiptablesiptables-ipv6-1.3.5-5.3.el5iptables-1.3.5-5.3.el5若輸出了版本信息，則表明系統(tǒng)已安裝。若未安裝可在RHEL5安裝光盤中找到安裝包iptables-1.3.5-5.3.el5.i386.rpm進(jìn)行安裝便可。項目14防火墻與squid代理服務(wù)器的搭建2．iptables服務(wù)的常用管理命令設(shè)置完成后可啟動、停止或重啟iptables服務(wù)了，其有關(guān)命令如下：（1）iptables服務(wù)的啟動、停止或重新啟動serviceiptablesstart|stop|restart（2）iptables服務(wù)的自動啟動#chkconfig--level345iptableson#ntsysv此命令打開文本圖形界面，在iptables前面選中“*”，確定后即可實現(xiàn)開機(jī)自動加載iptables服務(wù)，否則取消掉“*”就不自動加載了。任務(wù)14-1iptables服務(wù)的安裝項目14防火墻與squid代理服務(wù)器的搭建是對防火墻配置管理的核心命令，其基本格式為：iptables

[-t表名]

命令選項[鏈名]

-[匹配條件]

[-j目標(biāo)動作/跳轉(zhuǎn)]其中：表名、鏈名——用于指定所操作的表和鏈，若未指定表名，則filter作為缺省表。命令選項——指定管理規(guī)則的方式，常用的命令選項見表15-1。匹配條件——用于指定對符合什么樣的條件的包進(jìn)行處理，常用條件匹配見表15-2。目標(biāo)動作/跳轉(zhuǎn)——用來指定內(nèi)核對數(shù)據(jù)包的處理方式，如允許通過、拒絕、丟棄或跳轉(zhuǎn)給其他鏈進(jìn)行處理等，常用目標(biāo)動作/跳轉(zhuǎn)見表15-3。任務(wù)14-2認(rèn)識iptables命令的基本格式項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-2認(rèn)識iptables命令的基本格式項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-2認(rèn)識iptables命令的基本格式項目14防火墻與squid代理服務(wù)器的搭建網(wǎng)絡(luò)層的IP數(shù)據(jù)包、傳輸層TCP數(shù)據(jù)包任務(wù)14-2認(rèn)識iptables命令的基本格式項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-2認(rèn)識iptables命令的基本格式項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-3iptables命令的基本使用1．添加、插入規(guī)則#iptables

-tfilter

-AINPUT

-ptcp

-jACCEPT

#iptables

-IINPUT

-pudp

-jACCEPT

#iptables

-IINPUT2

-picmp

-jACCEPT2．查看規(guī)則#iptables

-tfilter

-LINPUT

--line-numbersChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1ACCEPTudp--anywhereanywhere2ACCEPTicmp--anywhereanywhere3ACCEPTtcp--anywhereanywhere#

iptables

-vnL

INPUTL選項要放在vn后，否則會將vn當(dāng)成鏈名項目14防火墻與squid代理服務(wù)器的搭建3．創(chuàng)建、刪除用戶自定義鏈#iptables-tfilter-Nhnwy在filter表中創(chuàng)建一條用戶自定義的鏈，鏈名為hnwy。#iptables-tfilter-X

清空filter表中所有自定義的鏈。4．刪除、清空規(guī)則#iptables-DINPUT3#iptables-F#iptables-tnat-F

任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建5．設(shè)置內(nèi)置鏈的默認(rèn)策略當(dāng)數(shù)據(jù)包與鏈中所有規(guī)則都不匹配時，將根據(jù)鏈的默認(rèn)策略來處理數(shù)據(jù)包。默認(rèn)允許的策略：首先默認(rèn)允許接受所有的輸入、輸出、轉(zhuǎn)發(fā)包，然后拒絕某些危險包。沒有被拒絕的都被允許（靈活方便、但安全性不高）#iptables

-POUTPUT

ACCEPT默認(rèn)禁止的策略：通常采用默認(rèn)禁止的策略。首先拒絕所有的輸入、輸出、轉(zhuǎn)發(fā)包，然后根據(jù)需要逐個打開要開放的各項服務(wù)。沒有明確確允許的都被拒絕（安全性高、但不靈活）#

iptables

-tfilter-PFORWARDDROP

任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建6．匹配條件的設(shè)置匹配條件是識別不同數(shù)據(jù)包的依據(jù)，它詳細(xì)描述了數(shù)據(jù)包的某種特征，以使這個包區(qū)別于其它所有的包。iptables的匹配條件有三類：①通用匹配條件——不依賴于其他匹配條件和擴(kuò)展模塊，可直接使用。包括：協(xié)議、地址和網(wǎng)絡(luò)接口匹配iptables

-IFORWARD-s/24-jACCEPT允許內(nèi)網(wǎng)/24子網(wǎng)里所有的客戶機(jī)上Internet網(wǎng)iptables

-IINPUT

-picmp

-s6

-jDROP

iptables

-IINPUT

-ieth0

-picmp

-jDROP禁止Internet上的計算機(jī)通過ICMP協(xié)議ping到本服務(wù)器的上連接公網(wǎng)的網(wǎng)絡(luò)接口eth0。任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建②隱含條件匹配——以協(xié)議匹配為前提端口匹配——以協(xié)議匹配為前提，不能單獨使用端口匹配#iptables

-IFORWARD-ptcp

--dport20:21

-jDROP禁止內(nèi)網(wǎng)的/24子網(wǎng)里所有的客戶機(jī)使用FTP協(xié)議下載TCP標(biāo)記匹配用于檢查數(shù)據(jù)包的TCP標(biāo)記位（--tcp-flags）,以便有選擇的過濾不同類型的TCP數(shù)據(jù)包使用格式為“--tcp-flags檢查范圍

被設(shè)置的標(biāo)記”?！皺z查范圍”——用于指定要檢查哪些標(biāo)記（可識別的標(biāo)記有：SYN，ACK，F(xiàn)IN，RST，URG，PSH）“被設(shè)置的標(biāo)記”——指定在“檢查范圍”中出現(xiàn)過且被設(shè)為1（即狀態(tài)是打開的）的標(biāo)記。#iptables-IINPUT-ptcp--tcp-flags!SYN,FIN,ACKSYN-jDROP禁止那些FIN和ACK標(biāo)記被設(shè)置而SYN標(biāo)記未設(shè)置的數(shù)據(jù)包任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建ICMP類型匹配——以“-picmp”協(xié)議匹配為前提用于檢查ICMP數(shù)據(jù)包的類型（--icmp-type）,以便有選擇的過濾不同類型的ICMP數(shù)據(jù)包。使用格式為“--icmp-typeICMP類型”?！癐CMP類型”——可為：“Echo-Request”、“Echo-Reply”、“Destination-Unreachable”,分別對應(yīng)ICMP協(xié)議的請求、回顯、目標(biāo)不可達(dá)數(shù)據(jù)。#iptables-AINPUT-picmp--icmp-typeEcho-Request-jDROP#iptables-AINPUT-picmp--icmp-typeEcho-Reply-jACCEPT#iptables-AINPUT-picmp--icmp-typeDestination-Unreachable-jACCEPT

禁止其他主機(jī)ping到本服務(wù)器，但允許從本服務(wù)器上ping其他主機(jī)（允許接收ICMP回應(yīng)數(shù)據(jù)包）。任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建③顯式條件匹配這種匹配的功能需要由額外的內(nèi)核模塊提供，因此需要在iptables命令中使用“-m模塊關(guān)鍵字”的形式調(diào)用相應(yīng)功能的內(nèi)核模塊。常見的顯式條件匹配有：MAC地址匹配非連續(xù)的多端口匹配多IP地址匹配狀態(tài)檢測匹配。#iptables-IFORWARD-mmac

--mac-source00-19-21-F1-83-C7-jDROP禁止轉(zhuǎn)發(fā)來自MAC地址為00-19-21-F1-83-C7的主機(jī)的數(shù)據(jù)包。#

iptables

-IINPUT

-ptcp-mmultiport--dport20,21,53

-jACCEPT

允許開放本機(jī)的20、21、53等TCP端口。任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建7．規(guī)則的保存與恢復(fù)使用iptables命令手工進(jìn)行的設(shè)置在系統(tǒng)中是即時生效的，但如果不進(jìn)行保存將在系統(tǒng)下次啟動時丟失。①保存防火墻規(guī)則命令1：serviceiptablessave將當(dāng)前正在運行的防火墻規(guī)則，保存到“/etc/sysconfig/iptables”文件中，文件原有的內(nèi)容將被覆蓋。iptables每次啟動或重啟時都使用/etc/sysconfig/iptables文件中所提供的規(guī)則進(jìn)行規(guī)則恢復(fù)。在保存防火墻當(dāng)前配置前應(yīng)先將原有配置進(jìn)行備份cp

/etc/sysconfig/iptables

iptables.raw任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建命令2：iptables-save

將配置信息顯示到標(biāo)準(zhǔn)輸出（屏幕）中命令3：iptables-save>路徑/文件名將顯示到標(biāo)準(zhǔn)輸出（屏幕）中的當(dāng)前正在運行的防火墻規(guī)則配置信息重定向保存到指定目錄的指定文件中。serviceiptablessave命令等效于iptables-save>/etc/sysconfig/iptables命令；使用iptables-save命令可以將多個版本的配置保存到不同的文件中。#iptables-save>/etc/sysconfig/ipt.v1.0#serviceiptablessave將當(dāng)前運行的防火墻規(guī)則先后保存到用戶指定的配置文件和系統(tǒng)默認(rèn)的配置文件。任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建②恢復(fù)防火墻規(guī)則命令：iptables-restore<路徑/文件名功能：將使用iptables-save保存的規(guī)則文件中的規(guī)則恢復(fù)到當(dāng)前系統(tǒng)中。iptables-restore命令可恢復(fù)不同版本的防火墻配置文件。#iptables-save>/etc/sysconfig/iptables#serviceiptablesrestart任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建禁止某機(jī)（物理機(jī)）Ping防火墻所在主機(jī)（虛擬機(jī)）serviceiptablesstart 啟動防火墻iptables-F 清空所有規(guī)則iptables-AINPUT-picmp-s172.16.102.X

-jDROP禁止除某機(jī)以外的其他主機(jī)Ping防火墻所在的主機(jī)iptables-DINPUT1

iptables-AINPUT-picmp-s!172.16.102.X

-jDROP禁止本網(wǎng)段以外的主機(jī)ping本機(jī)iptables-DINPUT1

iptables-AINPUT-s!/24-picmp-jDROP禁止所有人Ping本機(jī)iptables-DINPUT1

iptables-AINPUT

-picmp

-jDROP實例1——管理icmp任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建實例2——設(shè)置遠(yuǎn)程登錄限制初始化：iptables-PINPUTDROP

iptables-POUTPUTDROP

iptables-PFORWARDDROPiptables–Fiptables–X僅允許某機(jī)6使用ssh連接防火墻iptables-AINPUT-s172.16.102.X-ptcp--dport22-jACCEPTiptables-AOUTPUT-d172.16.102.X-ptcp--sport22-jDROP任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建實例3作為專門WEB服務(wù)器終端的配置1.初始化防火墻，清除任何以前配置的規(guī)則iptables-F//清除filter規(guī)則表中的所有規(guī)則iptables-X//清除filter規(guī)則表中的自定義規(guī)則鏈iptables-Z//將指定表中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零2.使客戶機(jī)能遠(yuǎn)程登錄訪問服務(wù)器iptables-AINPUT-ptcp-d172.16.102.X+60--dport22-jACCEPTiptables-AOUTPUT-ptcp-s172.16.102.X+60--sport22-jACCEPT

任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建3.把所有默認(rèn)策略設(shè)置為DROPiptables-PINPUTDROP

iptables-POUTPUTDROP

iptables-PFORWARDDROP4.讓本機(jī)的回環(huán)設(shè)備可以使用iptables-IINPUT1-ilo-pall-jACCEPTiptables-I

OUTPUT1-olo-jACCEPT沒有上述兩條規(guī)則時，系統(tǒng)啟動會卡住5.客戶機(jī)通過80端口訪問WEB服務(wù)器iptables-AINPUT-ptcp--sport80-jACCEPTiptables-AOUTPUT-ptcp--dport80-jACCEPT

6.使防火墻能夠解析進(jìn)出來的包iptables-AINPUT-pudp--sport53-jACCEPTiptables-AOUTPUT-pudp--dport53-jACCEPT7.保存設(shè)置serviceiptablessave任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建請在啟動linux系統(tǒng)之前添加第二塊網(wǎng)卡第1步：啟動虛擬機(jī)軟件第2步：添加第二塊網(wǎng)卡在虛擬機(jī)軟件菜單上點擊“虛擬機(jī)”→“設(shè)置”→點擊”添加”→點擊“網(wǎng)絡(luò)適配器”→點擊“下一步”→選擇“網(wǎng)橋”→點擊“完成”→”確定”第3步：啟動RHEL5第4步：配置IP地址第一塊網(wǎng)卡eth0：172.16.102.X+60第二塊網(wǎng)卡eth1：10.10.1.X/24其中：X——為物理機(jī)網(wǎng)卡IP地址的第4段任務(wù)14-3iptables命令的基本使用項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

公網(wǎng)地址與私網(wǎng)地址IP地址的分配與管理由ICANN管理機(jī)構(gòu)負(fù)責(zé)，公網(wǎng)地址必須經(jīng)申請后才能合法使用。為解決IP地址資源緊缺問題，IANA機(jī)構(gòu)將IP地址劃分了一部分出來，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內(nèi)使用，不同局域網(wǎng)可重復(fù)使用?？墒褂玫乃骄W(wǎng)地址有：一個A類地址：/816個B類地址：/16~/16256個C類地址：/16。項目14防火墻與squid代理服務(wù)器的搭建1．NAT服務(wù)的概念及分類

為了解決使用私網(wǎng)地址的局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)。NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種用另一個地址來替換IP數(shù)據(jù)包頭部中的源地址或目的地址的技術(shù)。通過網(wǎng)絡(luò)地址轉(zhuǎn)換操作，局域網(wǎng)用戶就能透明地訪問因特網(wǎng)，通過配置靜態(tài)地址轉(zhuǎn)換，位于因特網(wǎng)中的主機(jī)還能實現(xiàn)對局域網(wǎng)內(nèi)特定主機(jī)的訪問。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建目前幾乎所有防火墻的軟硬件產(chǎn)品都集成了NAT功能，iptables也不例外。根據(jù)NAT替換數(shù)據(jù)包頭部中地址的不同，NAT分為源地址轉(zhuǎn)換SNAT（IP偽裝）目的地址轉(zhuǎn)換DNAT兩大類。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建SNAT策略的原理未使用SNAT策略時的情況源地址：

目標(biāo)地址：9HTTP請求HTTP請求HTTP應(yīng)答源地址：

目標(biāo)地址：9源地址：9

目標(biāo)地址：eth0:1Internet中的Web服務(wù)器

9無法正確路由路

由

轉(zhuǎn)

發(fā)局域網(wǎng)客戶端

eth1:54Linux網(wǎng)關(guān)服務(wù)器任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建SNAT策略的原理在網(wǎng)關(guān)中使用SNAT策略以后源地址：

目標(biāo)地址：9HTTP請求HTTP應(yīng)答源地址：1

目標(biāo)地址：9源地址：9

目標(biāo)地址：1Linux網(wǎng)關(guān)服務(wù)器Internet中的Web服務(wù)器

9SNAT

轉(zhuǎn)換局域網(wǎng)客戶端

源地址：9

目標(biāo)地址：HTTP請求eth1:54eth0:1任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建局域網(wǎng)用戶的訪問請求報文中的源地址是私網(wǎng)地址，報文在進(jìn)入因特網(wǎng)后，將被因特網(wǎng)中的路由器丟棄。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，在報文離開局域網(wǎng)的邊界路由器進(jìn)入因特網(wǎng)之前，對報文中的源地址進(jìn)行替換修改，將其替換修改為某一個合法的公網(wǎng)地址，這樣報文就能在因特網(wǎng)中被正常路由和轉(zhuǎn)發(fā)了，訪問就會獲得成功。這種對報文中的源地址或目的地址進(jìn)行替換修改的操作，就稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建2.使用SNAT實現(xiàn)使用私網(wǎng)IP的多臺主機(jī)共享上網(wǎng)為落實上述SNAT技術(shù)的結(jié)果,要在NAT服務(wù)器上完成以下兩個操作:任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建步驟1：開啟Linux內(nèi)核IP報文轉(zhuǎn)發(fā)功能允許NAT服務(wù)器上的eth0和eth1兩塊網(wǎng)卡之間能相互轉(zhuǎn)發(fā)數(shù)據(jù)包。其開啟方法為：方法1：編輯/etc/sysctl.conf配置文件將“net.ipv4.ip_forward=0”配置項修改為：net.ipv4.ip_forward=1#sysctl

-p

/etc/sysctl.conf方法2：執(zhí)行命令：#echo1>/proc/sys/net/ipv4/ip_forward#sysctl

-p

/etc/sysctl.conf

使sysctl.conf的修改立即生效任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建步驟2：添加使用SNAT策略的防火墻規(guī)則當(dāng)NAT服務(wù)器的外網(wǎng)接口配置的是固定的公網(wǎng)IP地址#iptables-tnat-APOSTROUTING-s/24-oeth0-jSNAT--to-source172.16.102.60+X當(dāng)NAT服務(wù)器通過ADSL撥號方式連接Internet，即外網(wǎng)接口獲取的是動態(tài)公網(wǎng)IP地址：#iptables-tnat-APOSTROUTING-s10.10.1.0/24-oppp0-jMASQUERADE

任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建DNAT策略的原理在網(wǎng)關(guān)中使用DNAT策略發(fā)布內(nèi)網(wǎng)服務(wù)器源地址：9

目標(biāo)地址：1HTTP請求Internet中的客戶機(jī)

9Linux網(wǎng)關(guān)服務(wù)器局域網(wǎng)內(nèi)的Web服務(wù)器

HTTP應(yīng)答源地址：1

目標(biāo)地址：9DNAT

轉(zhuǎn)換HTTP請求HTTP應(yīng)答源地址：9

目標(biāo)地址：源地址：

目標(biāo)地址：9eth0：1eth0：1任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建3.使用DNAT實現(xiàn)向公網(wǎng)發(fā)布私網(wǎng)的應(yīng)用服務(wù)器步驟1：確認(rèn)已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能（方法同上）步驟2：添加使用DNAT策略的防火墻規(guī)則。若發(fā)布的是Web服務(wù)器，其命令如下：

#iptables-tnat-APREROUTING-ptcp-ieth0

-d0+X

--dport80-jDNAT--to-destination10.10.1.X任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建NAT配置案例1、企業(yè)環(huán)境注意:內(nèi)部網(wǎng)的計算機(jī)網(wǎng)關(guān)要設(shè)置為防火墻的內(nèi)網(wǎng)卡的ip(54)任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建需求分析所有內(nèi)網(wǎng)計算機(jī)要訪問互聯(lián)網(wǎng)Mail和FTP服務(wù)器對內(nèi)部員工開放對外發(fā)布Web站點管理員通過外網(wǎng)對Web站點進(jìn)行遠(yuǎn)程管理首先刪除所有規(guī)則設(shè)置將默認(rèn)規(guī)則設(shè)置為DROP然后開啟防火墻對于客戶端的訪問限制，打開WEB、MSN、QQ及MAIL的相應(yīng)端口允許外部客戶端登錄WEB服務(wù)器的80、22端口。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建解決方案1.安裝iptables2.查看本機(jī)關(guān)于iptables的設(shè)置情況

#iptables-L-n3.清除原有規(guī)則——不管你在安裝linux時是否啟動了防火墻,如果你想配置屬于自己的防火墻,那就清除現(xiàn)在filter的所有規(guī)則.iptables–F清空所選鏈中的規(guī)則，如果沒有指定鏈則清空指定表中所有鏈的規(guī)則iptables–X清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則iptables–Z清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建4.設(shè)置默認(rèn)策略iptables–PINPPUTDROPiptables–PFORWARD

DROPiptables–POUTPUT

ACCEPTiptables–tnat–PPREROUTING

ACCEPTiptables–tnat–POUTPUT

ACCEPTiptables–tnat–PPOSTROUTING

ACCEPT設(shè)置默認(rèn)策略為關(guān)閉filter表的INPPUT及FORWARD鏈開啟OUTPUT鏈，nat表的三個鏈PREROUTING、OUTPUT、POSTROUTING全部開啟哈~默認(rèn)全部鏈都是開啟的，所以有些命令可以不操作，另外mangle表本文沒用到，所以不做處理，mangle主要用在數(shù)據(jù)包的特殊變更處理上，比如修改TOS等特性。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建5.設(shè)置回環(huán)地址iptables-AINPUT-ilo-jACCEPT有些服務(wù)的測試需要使用回環(huán)地址，為了保證各個服務(wù)的正常工作，需要允許回環(huán)地址的通信。6.連接狀態(tài)設(shè)置iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT為了簡化防火墻的配置操作，并提高檢查的效率，需要添加連接狀態(tài)設(shè)置連接跟蹤存在四種數(shù)據(jù)包狀態(tài)NEW——想要新建連接的數(shù)據(jù)包INVALID——無效的數(shù)據(jù)包，例如損壞或者不完整的數(shù)據(jù)包ESTABLISHED——已經(jīng)建立連接的數(shù)據(jù)包RELATED——與已經(jīng)發(fā)送的數(shù)據(jù)包有關(guān)的數(shù)據(jù)包任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建7.設(shè)置80端口轉(zhuǎn)發(fā)iptables

-AFORWARD

-ptcp

--dport80

-jACCEPT公司網(wǎng)站需要對外開放，需要開放80端口8.DNS相關(guān)設(shè)置iptables

-AFORWARD

-ptcp

--dport53

-jACCEPTiptables-AFORWARD

-pudp

--dport53

-jACCEPT為了客戶端能夠正常使用域名訪問互聯(lián)網(wǎng)，需要允許內(nèi)網(wǎng)計算機(jī)與外部DNS服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)。開啟DNS使用UDP、TCP的53端口任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建9.允許管理員通過外網(wǎng)進(jìn)行遠(yuǎn)程管理,開啟22端口iptables-AINPUT-ptcp--dport22-jACCEPTiptables

-AOUTPUT-ptcp--sport22-jACCEPT10.允許內(nèi)網(wǎng)主機(jī)登錄MSN和QQ相關(guān)設(shè)置iptables-AFORWARD-ptcp--dport1863-jACCEPTiptables-AFORWARD-ptcp--dport443-jACCEPTiptables-AFORWARD-ptcp--dport8000-jACCEPTiptables-AFORWARD-pudp--dport

8000-jACCEPTiptables-AFORWARD-pudp--dport

4000-jACCEPTQQ能夠使用TCP80、8000、443及UDP8000、4000登錄，而MSN通過TCP1863、443驗證。因此只需要允許這些端口的FORWARD轉(zhuǎn)發(fā)即可以正常登錄。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建11.允許內(nèi)網(wǎng)主機(jī)收發(fā)郵件客戶端發(fā)送郵件時訪問郵件服務(wù)器的TCP25端口。接收郵件時訪問，可能使用的端口則較多，UDP協(xié)議以及TCP協(xié)議的端口：110、143、993及995smtp:#iptables-AFORWARD-ptcp--dport25-jACCEPTpop3:#iptables-AFORWARD-ptcp--dport110-jACCEPT#iptables-AFORWARD-pudp--dport110-jACCEPTimap:#iptables-AFORWARD-ptcp--dport143-jACCEPT#iptables-AFORWARD-pudp--dport143-jACCEPTimaps:#iptables-AFORWARD-ptcp--dport993-jACCEPT#iptables-AFORWARD-pudp--dport993-jACCEPTpop3s:#iptables-AFORWARD-ptcp--dport995-jACCEPT#iptables-AFORWARD-pudp--dport995-jACCEPT任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建12.NAT端口映射設(shè)置iptables-tnat-APOSTROUTING-oeth0-s/24-jSNAT--to-source09由于局域網(wǎng)的地址為私網(wǎng)地址，在公網(wǎng)上不合法，所以必須將私網(wǎng)地址轉(zhuǎn)為服務(wù)器的外部地址進(jìn)行地址映射，連接外網(wǎng)接口為eth013.內(nèi)網(wǎng)機(jī)器對外發(fā)布WEB網(wǎng)站iptables-tnat-APREROUTING-ieth0-ptcp--dport80-jDNAT--to-destination

內(nèi)網(wǎng)WEB服務(wù)器IP地址為，我們需要進(jìn)行如下配置，當(dāng)公網(wǎng)客戶端訪問服務(wù)器時，防火墻將請求映射到內(nèi)網(wǎng)的的80端口任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建14.禁止訪問具體域名和IP地址#iptables-AFORWARD-d[url][/url]-jDROP禁止訪問QQ主頁#iptables-AFORWARD-d7-jDROP禁止訪問指定IP地址：15.禁止INTERNET上計算機(jī)通過ICMP協(xié)議PING到代理服務(wù)器的eth0接口#iptables–AINPUT-ieth0-picmp-jDROP此時，局域網(wǎng)中的計算機(jī)還是可以PING通INTERNET上的計算機(jī)的,因為從局域網(wǎng)到INTERNET的數(shù)據(jù)包使用NAT方式傳輸，僅經(jīng)過PREROUTING鏈——FORWARD鏈——POSTROUTING鏈——鏈這條通道，并沒有經(jīng)過INPUT和OUPUT鏈。任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建16.保存與恢復(fù)iptables配置iptables-save>/etc/iptables-save保存iptables-restore</etc/iptables-save恢復(fù)：serviceiptablessave如果要在服務(wù)或系統(tǒng)重啟后依然生效17.重啟服務(wù)#serviceiptablesrestart

現(xiàn)在iptables配置表里什么配置都沒有了任務(wù)14-4使用iptables實現(xiàn)NAT服務(wù)

項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-5squid服務(wù)器的安裝1．檢查是否安裝了squid服務(wù)器

rpm-qa|grepsquid2．安裝squid軟件包mount/dev/cdrom/mntrpm-ivh/mnt/Server/squid-2.6.STABLE21-3.el5.i386.rpm

項目14防火墻與squid代理服務(wù)器的搭建任務(wù)14-6認(rèn)識Squid配置參數(shù)與初始化

1．設(shè)置監(jiān)聽的端口和IP地址http_port31282．設(shè)置內(nèi)存緩沖大小cache_mem512MB3．設(shè)置保存到緩存的最大文件的大小maximum_object_size4096KB4．設(shè)置用戶下載的最大文件的大小reply_body_max_size10240000allowall項目14防火墻與squid代理服務(wù)器的搭建5．設(shè)置硬盤緩存的大小cache_dirufs/var/spool/squid4096162566．設(shè)置DNS服務(wù)器的地址dns_nameservers017．設(shè)置運行Squid主機(jī)的名稱visible_hostname548．設(shè)置訪問控制acl列表名稱列表類型[-i]列表值1列表值2……任務(wù)14-6認(rèn)識Squid配置參數(shù)與初始化

項目14防火墻與squid代理服務(wù)器的搭建9．設(shè)置日志文件①用戶訪問因特網(wǎng)的日志—