學(xué)習(xí)情境5項(xiàng)目1管理與維護(hù)Iptables防火墻.ppt

1、Linux網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程,楊云 等編著 中國(guó)水利水電出版社,1. 項(xiàng)目課題引入,2. 防火墻的工作原理,3. 防火墻的配置與管理,4. NAT的配置,5. 現(xiàn)場(chǎng)演示案例,課題引入項(xiàng)目背景,假設(shè)某單位租用DDN專線上網(wǎng)。網(wǎng)絡(luò)拓?fù)淙缦聢D所示。iptables防火墻的eth0接口連接外網(wǎng)，IP地址為00；eth1接口連接內(nèi)網(wǎng)，IP地址為。假設(shè)在內(nèi)網(wǎng)中存在WEB、DNS和E-mail3臺(tái)服務(wù)器，這3臺(tái)服務(wù)器都有公有IP地址。其IP地址如圖所示。設(shè)置防火墻規(guī)則加強(qiáng)對(duì)內(nèi)網(wǎng)服務(wù)器的保護(hù)，并允許外網(wǎng)的用戶可以訪問(wèn)此3臺(tái)服務(wù)器。,課題引入項(xiàng)目分析,

2、完成本項(xiàng)目需要解決的問(wèn)題： 1、什么是防火墻,其工作原理是什么 2、如何使用Iptables進(jìn)行防火墻設(shè)置 3、如何配置包過(guò)濾防火墻 4、如何實(shí)現(xiàn)NAT,課題引入教學(xué)目標(biāo),學(xué)習(xí)本課需要實(shí)現(xiàn)的教學(xué)目標(biāo)： 掌握防火墻的概念和工作原理 掌握Iptables的結(jié)構(gòu)和配置方法 掌握包過(guò)濾防火墻的配置方法 掌握NAT的配置方法,課題引入應(yīng)達(dá)到的職業(yè)能力,學(xué)生學(xué)習(xí)本課后應(yīng)該具有的職業(yè)能力： 掌握為企業(yè)設(shè)計(jì)防火墻的能力 掌握Linux下Iptables的配置方法 掌握包過(guò)濾防火墻的配置能力 掌握NAT的配置能力 具有較好的團(tuán)隊(duì)合作能力,項(xiàng)目問(wèn)題一 防火墻的工作原理,防火墻是一種非常重要的網(wǎng)絡(luò)安全工具，利用防火

3、墻可以保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的威脅，作為網(wǎng)絡(luò)管理員，掌握防火墻的安裝與配置非常重要。 防火墻分成2種: 代理服務(wù)器型防火墻 包過(guò)濾型防火墻,包過(guò)濾型防火墻,包過(guò)濾型防火墻內(nèi)置于Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層或傳輸層對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（ACL）。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號(hào)等因素，來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。如圖所示是包過(guò)濾型防火墻常用的一種模式，主要用來(lái)阻隔來(lái)自外網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅。,包過(guò)濾型防火墻有兩種基本的默認(rèn)訪問(wèn)控制策略： 一種是先禁止所有的數(shù)據(jù)包通過(guò)，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。 一種是先允許所

4、有的數(shù)據(jù)包通過(guò)，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過(guò)。,代理服務(wù)器型防火墻,代理服務(wù)器型防火墻是應(yīng)用網(wǎng)關(guān)型防火墻，通常工作在應(yīng)用層。代理服務(wù)器實(shí)際上是運(yùn)行在防火墻上的一種服務(wù)器程序。服務(wù)器監(jiān)聽(tīng)客戶機(jī)的請(qǐng)求，如申請(qǐng)瀏覽網(wǎng)頁(yè)等。當(dāng)內(nèi)網(wǎng)的客戶機(jī)請(qǐng)求與外網(wǎng)的真實(shí)服務(wù)器連接時(shí)，客戶端首先連接代理服務(wù)器，然后再由代理服務(wù)器與外網(wǎng)真實(shí)的服務(wù)器建立連接，取得客戶想要的信息，代理服務(wù)器再把信息返回給客戶。,包過(guò)濾型防火墻工作原理,包過(guò)濾型防火墻的工作過(guò)程： （1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在IP層向TCP層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。 （2）首先與第一條過(guò)濾規(guī)則進(jìn)行比較。 （3）如果

5、與第一條規(guī)則匹配，則進(jìn)行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過(guò)，如果阻止則將該數(shù)據(jù)包丟棄。 （4）如果與第一條過(guò)濾規(guī)則不同，則查看是否還有下一條規(guī)則。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進(jìn)行與（3）相同的審核過(guò)程。 （5）依此類推，一條一條規(guī)則匹配，直到最后一條過(guò)濾規(guī)則。如果該數(shù)據(jù)包與所有的過(guò)濾規(guī)則均不匹配，則采用防火墻的默認(rèn)訪問(wèn)控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過(guò)）。,包過(guò)濾型防火墻工作原理,包過(guò)濾型防火墻原理圖,包過(guò)濾規(guī)則檢查內(nèi)容： 源、目標(biāo)IP地址 TCP和UDP的源、目的端口號(hào) 協(xié)議類型 ICMP消息類型 TCP報(bào)頭中的AC

6、K位、序列號(hào)、確認(rèn)號(hào) IP校驗(yàn)和,項(xiàng)目問(wèn)題二 Netfilter/iptables架構(gòu),從1.1內(nèi)核開(kāi)始，Linux下的包過(guò)濾系統(tǒng)經(jīng)歷了3個(gè)階段： 在2.0內(nèi)核中，采用ipfwadm來(lái)操作內(nèi)核包過(guò)濾規(guī)則。 在2.2內(nèi)核中，采用ipchains來(lái)控制內(nèi)核包過(guò)濾規(guī)則。 在2.4內(nèi)核中，采用了一個(gè)全新的內(nèi)核包過(guò)濾管理工具iptables。 Netfilter/iptables最早是與2.4內(nèi)核版本的Linux系統(tǒng)集成的IP信息包過(guò)濾系統(tǒng)。它由Netfilter和iptables兩個(gè)組件組成。,Netfilter/iptables架構(gòu),Netfilter組件稱為內(nèi)核空間，它集成在Linux的內(nèi)核中。主

7、要由信息包過(guò)濾表（tables）組成，而表由若干個(gè)鏈組成，每條鏈中可以由一條或者多條規(guī)則組成?？偟膩?lái)說(shuō)，Netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。,Netfilter/iptables架構(gòu),（1）規(guī)則。規(guī)則存儲(chǔ)在內(nèi)核的包過(guò)濾表中，分別指定了源、目的IP地址、傳輸協(xié)議、服務(wù)類型等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，就根據(jù)規(guī)則所定義的方法來(lái)處理數(shù)據(jù)包，如放行、丟棄等動(dòng)作。 （2）鏈。鏈?zhǔn)菙?shù)據(jù)包傳播的路徑，每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)數(shù)據(jù)包到達(dá)一條鏈時(shí)，會(huì)從鏈中第一條規(guī)則開(kāi)始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會(huì)根據(jù)該條

8、規(guī)則所定義的方法處理該數(shù)據(jù)包；否則將繼續(xù)檢查下一條規(guī)則。如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略處理數(shù)據(jù)包。,Netfilter/iptables架構(gòu),（3）表。Netfilter中內(nèi)置有3張表：filter表，nat表和mangle表。其中filter表用于實(shí)現(xiàn)數(shù)據(jù)包的過(guò)濾、nat表用于網(wǎng)絡(luò)地址轉(zhuǎn)換、mangle表用于包的重構(gòu)。 filter表是iptables默認(rèn)的表， 主要用于數(shù)據(jù)包的過(guò)濾。filter表包含了INPUT鏈（處理進(jìn)入的數(shù)據(jù)包）、FORWARD鏈（處理轉(zhuǎn)發(fā)的數(shù)據(jù)包）和OUTPUT鏈（處理本地生成的數(shù)據(jù)包）。 nat表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換。nat表包含了

9、PREROUTIN鏈（修改即將到來(lái)的數(shù)據(jù)包）、OUTPUT鏈（修改在路由之前本地生成的數(shù)據(jù)包）和POSTROUTING鏈（修改即將出去的數(shù)據(jù)包）。 mangle表主要用于對(duì)指定的包進(jìn)行修改。在Linux 2.4.18內(nèi)核之前，mangle表僅包含PREROUTING鏈和OUTPUT鏈。在Linux2.4.18內(nèi)核之后，包括PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五個(gè)鏈。,iptables傳輸數(shù)據(jù)包過(guò)程,iptables傳輸數(shù)據(jù)包的過(guò)程如下圖所示。,iptables傳輸數(shù)據(jù)包過(guò)程,打開(kāi)Linux的路由轉(zhuǎn)發(fā)功能： （1） 修改內(nèi)核變量ip_forwar

10、d （2）修改/etc/sysctl.conf文件使“net.ipv4.ip_forward”的值設(shè)置為1 。,iptables命令,iptables命令格式為： iptables -t 表名 -命令 鏈名 匹配條件 目標(biāo)動(dòng)作 Iptables表的常用命令：,iptables命令,Iptables命令中的常用匹配規(guī)則：,iptables命令,Iptables命令中的常用目標(biāo)動(dòng)作選項(xiàng)：,iptables命令,制定永久性規(guī)則集： 保存規(guī)則集： 恢復(fù)規(guī)則集：,項(xiàng)目問(wèn)題三 使用iptables配置包過(guò)濾防火墻,【例15-1】清除所有鏈中的規(guī)則 。,iptables命令舉例,【例15-2】設(shè)置filte

11、r表中3個(gè)鏈的默認(rèn)策略為拒絕 。,【例15-3】查看所有鏈的規(guī)則列表 。,iptables命令舉例,【例15-4】添加一個(gè)用戶自定義的鏈custom 。,iptables命令舉例,【例15-5】向filter表的INPUT鏈的最后添加一條規(guī)則，對(duì)來(lái)自這臺(tái)主機(jī)的數(shù)據(jù)包丟棄 。,iptables命令舉例,【例15-6】向filter表中的INPUT鏈的第3條規(guī)則前面插入一條規(guī)則，允許來(lái)自于非/24網(wǎng)段的主機(jī)對(duì)本機(jī)的25端口的訪問(wèn) 。,iptables命令舉例,【例15-7】向filter表的INPUT鏈中添加一條規(guī)則，拒絕外界主機(jī)訪問(wèn)本機(jī)tcp協(xié)議的10

12、0至1024端口。,iptables命令舉例,【例15-8】向filter表的INPUT鏈中添加一條規(guī)則，拒絕來(lái)自其他主機(jī)的ping請(qǐng)求 。,項(xiàng)目問(wèn)題三 NAT的基本知識(shí),NAT的主要功能： （1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。 （2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。 （3）支持多重服務(wù)器和負(fù)載均衡。 （4）實(shí)現(xiàn)透明代理 。,NAT的基本知識(shí),NAT的工作過(guò)程： （1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計(jì)算機(jī)。 （2） NAT將數(shù)據(jù)包中的端口號(hào)和專用的IP地址換成它自己的端口號(hào)和公用的IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的

13、目的主機(jī)，同時(shí)記錄一個(gè)跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息。 （3）外部網(wǎng)絡(luò)發(fā)送回答信息給NAT。 （4）NAT將所收到的數(shù)據(jù)包的端口號(hào)和公用IP地址轉(zhuǎn)換為客戶機(jī)的端口號(hào)和內(nèi)部網(wǎng)絡(luò)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機(jī)。,NAT的基本知識(shí),NAT的工作過(guò)程示意圖：,NAT的基本知識(shí),NAT的分類： （1）源NAT（Source NAT，SNAT）。SNAT指修改第一個(gè)包的源IP地址。SNAT會(huì)在包送出之前的最后一刻做好Post-Routing的動(dòng)作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。 （2）目的NAT（Destination NAT，DNAT）。DNA

14、T是指修改第一個(gè)包的目的IP地址。DNAT總是在包進(jìn)入后立刻進(jìn)行Pre-Routing動(dòng)作。端口轉(zhuǎn)發(fā)、負(fù)載均衡和透明代理均屬于DNAT。,使用Iptables實(shí)現(xiàn)NAT,用戶根據(jù)規(guī)則所處理的信息包類型，使用iptables命令設(shè)置NAT規(guī)則： 要做源IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到POSTROUTING鏈中。 要做目的IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到PREROUTING鏈中。 直接從本地出去的數(shù)據(jù)包的規(guī)則被添加到OUTPUT鏈中。,使用Iptables實(shí)現(xiàn)NAT,數(shù)據(jù)包穿越NAT的工作流程示意圖：,使用Iptables實(shí)現(xiàn)NAT,【例15-10】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，et

15、h0連接外網(wǎng)，eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)的客戶機(jī)都只有私有IP地址。利用NAT服務(wù)使企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)能夠連接Internet網(wǎng)絡(luò)。,【例15-10】的解決方案1,假設(shè)eth0的IP地址是靜態(tài)分配的。公網(wǎng)IP地址池為00-50 。此時(shí)應(yīng)作SNAT，iptables命令的-j參數(shù)的語(yǔ)法格式為： -j SNAT -to-source/-to IP1-IP2:port1 -port2 配置步驟： 打開(kāi)Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip

16、_forward 實(shí)現(xiàn)SNAT。 rootRHEL4 # iptables t nat A POSTROUTING p tcp o eth0 j SNAT -to 00-50:1025:30000,【例15-10】的解決方案2,假設(shè)連接外網(wǎng)的接口是利用ADSL撥號(hào)連接的ppp0。 此時(shí)應(yīng)作IP偽裝，iptables命令的-j參數(shù)的語(yǔ)法格式為： -j MASQUERADE 配置步驟： 打開(kāi)Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實(shí)現(xiàn)IP偽裝。 rootRHE

17、L4 # iptables t nat A POSTROUTING o ppp0 -j MASQUERADE,使用Iptables實(shí)現(xiàn)NAT,【例15-11】假設(shè)某企業(yè)網(wǎng)中NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，IP地址為00。eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡(luò)WEB服務(wù)器的IP地址為。要求當(dāng)Internet網(wǎng)絡(luò)中的用戶在瀏覽器中輸入http:/ 00時(shí)可以訪問(wèn)到內(nèi)網(wǎng)的WEB服務(wù)器。,【例15-11】的解決方案,根據(jù)題目要求可知，此時(shí)應(yīng)作DNAT。iptables命令的-j參數(shù)的語(yǔ)法格式

18、為： -j DNAT -to-destination/-to IP1-IP2:port1 -port2 實(shí)現(xiàn)DNAT的配置語(yǔ)句： # iptables t nat A PREROUTING p tcp d 00 -dport 80 j DNAT -to :80 或者： # iptables t nat A PREROUTING p tcp i eth0 -dport 80 j DNAT -to :80,總結(jié),本項(xiàng)目的解決方案: /1. 清空所有的鏈規(guī)則 rootRHEL4 # iptables -F /2. 禁止iptables防火墻轉(zhuǎn)發(fā)任何數(shù)據(jù)包 rootRHEL4 # iptables -P FORWARD DROP /3. 建立來(lái)自Internet網(wǎng)絡(luò)的數(shù)據(jù)包的過(guò)濾規(guī)則 # iptables -A FORWARD p tcp d p tcp -dport 80 -i eth0 -j ACCEPT # iptables -A FORWARD p