防火墙与代理服务器.ppt

Linux网络操作系统与实训（第2版）,中国铁道出版社,孙丽娜 孔令宏 杨 云 主编 李 斌 姜庆玲 梁明亮 副主编,教材地址：,Windows & Linux教师交流群：189934741,第15章 防火墙与代理服务器,1. 项目课题引入,2. 防火墙概述,3. iptables,4. NAT,5. squid代理服务器,课题引入项目背景,假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网，IP地址为00；eth1接口连接内网，IP地址为。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此3台服务器。,课题引入项目分析,完成本项目需要解决的问题： 1、什么是防火墙,其工作原理是什么 2、如何使用Iptables进行防火墙设置 3、如何配置包过滤防火墙 4、如何实现NAT 5、什么是代理服务器,其工作原理是什么 6、squid代理服务器的安装、启动与运行方法 7、squid服务器的配置方法 8、透明代理的配置方法,课题引入教学目标,学习本课需要实现的教学目标： 掌握防火墙的概念和工作原理 掌握Iptables的结构和配置方法 掌握包过滤防火墙的配置方法 掌握NAT的配置方法 掌握代理服务器的工作原理 掌握代理服务器的启动与停止方法 掌握代理服务器配置文件的修改方法 掌握代理服务器的配置方法 掌握透明代理的配置方法,课题引入应达到的职业能力,学生学习本课后应该具有的职业能力： 掌握为企业设计防火墙的能力 掌握Linux下Iptables的配置方法 掌握包过滤防火墙的配置能力 掌握NAT的配置能力 进行squid代理服务器的配置能力 进行透明代理服务器的配置能力 具有较好的团队合作能力,15.1 防火墙概述,15.1.1 防火墙的概念,15.1 防火墙概述,15.1.2 iptables简介,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.2 iptables工作原理 netfilter的5条链相互地关联，如图15-1所示。,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.2 iptables工作原理 2iptables工作流程,15.2 iptables,15.2.2 iptables工作原理,15.2 iptables,15.2.3 安装iptables,15.2 iptables,15.2.3 安装iptables,15.2.4 iptables命令,15.2 iptables,15.2 iptables,15.2.4 iptables命令,15.2 iptables,15.2.4 iptables命令,15.2 iptables,15.2.4 iptables命令,15.2 iptables,15.2.4 iptables命令,15.2 iptables,15.2.5 iptables命令使用举例,15.2 iptables,15.2.5 iptables命令使用举例,15.2 iptables,15.2.5 iptables命令使用举例,15.2 iptables,15.2.5 iptables命令使用举例,15.2 iptables,15.2.5 iptables命令使用举例,15.3 NAT,15.3.1 NAT的基本知识,NAT的工作过程： （1）客户机将数据包发给运行NAT的计算机。 （2） NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。 （3）外部网络发送回答信息给NAT。 （4）NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。,15.3 NAT,15.3.1 NAT的基本知识,NAT的工作过程示意图：,15.3 NAT,15.3.1 NAT的基本知识,NAT的分类： （1）源NAT（Source NAT，SNAT）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。 （2）目的NAT（Destination NAT，DNAT）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。,15.3 NAT,15.3.2 使用Iptables实现NAT,用户根据规则所处理的信息包类型，使用iptables命令设置NAT规则： 要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。 要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。 直接从本地出去的数据包的规则被添加到OUTPUT链中。,15.3 NAT,15.3.2 使用Iptables实现NAT,数据包穿越NAT的工作流程示意图：,15.3 NAT,15.3.2 使用Iptables实现NAT,【例15-10】假设某企业网中NAT服务器安装了双网卡，eth0连接外网，eth1连接内网，IP地址为。企业内部网络的客户机都只有私有IP地址。利用NAT服务使企业内部网络的计算机能够连接Internet网络。,15.3 NAT,15.3.2 使用Iptables实现NAT,假设eth0的IP地址是静态分配的。公网IP地址池为00-50 。此时应作SNAT，iptables命令的-j参数的语法格式为： -j SNAT -to-source/-to IP1-IP2:port1 -port2 配置步骤： 打开Linux的内核转发功能。 rootServer # echo “1”/proc/sys/net/ipv4/ip_forward 实现SNAT。 rootServer # iptables t nat A POSTROUTING p tcp o eth0 j SNAT -to 00-50:1025:30000,15.3 NAT,15.3.2 使用Iptables实现NAT,假设连接外网的接口是利用ADSL拨号连接的ppp0。 此时应作IP伪装，iptables命令的-j参数的语法格式为： -j MASQUERADE 配置步骤： 打开Linux的内核转发功能。 rootServer # echo “1”/proc/sys/net/ipv4/ip_forward 实现IP伪装。 rootServer # iptables t nat A POSTROUTING o ppp0 -j MASQUERADE,15.3 NAT,15.3.2 使用Iptables实现NAT,【例15-11】假设某企业网中NAT服务器安装了双网卡，eth0连接外网，IP地址为00。eth1连接内网，IP地址为。企业内部网络WEB服务器的IP地址为。要求当Internet网络中的用户在浏览器中输入http:/ 00时可以访问到内网的WEB服务器。,15.3 NAT,15.3.2 使用Iptables实现NAT,根据题目要求可知，此时应作DNAT。iptables命令的-j参数的语法格式为： -j DNAT -to-destination/-to IP1-IP2:port1 -port2 实现DNAT的配置语句： # iptables t nat A PREROUTING p tcp d 00 -dport 80 j DNAT -to :80 或者： # iptables t nat A PREROUTING p tcp i eth0 -dport 80 j DNAT -to :80,15.4 squid代理服务器,15.4.1 代理服务器的工作原理,15.4 squid代理服务器,15.4.1 代理服务器的工作原理,15.4 squid代理服务器,15.4.2 代理服务器的作用,（1）提高访问速度。 （2）用户访问限制。 （3）安全性得到提高。,15.4 squid代理服务器,15.4.3 安装、启动与停止Squid服务,15.4 squid代理服务器,15.4.3 安装、启动与停止Squid服务,15.4 squid代理服务器,15.4.3 安装、启动与停止Squid服务,15.4 squid代理服务器,15.4.3 安装、启动与停止Squid服务,15.4 squid代理服务器,15.4.4 配置squid服务器,1几个常用的选项 （1）http_port 3128。,http_port 54:8080,（2）cache_mem 512MB。 内存缓冲设置是指需要使用多少内存来作为高速缓存。,（3）cache_dir ufs /var/spool/squid 4096 16 256。 用于指定硬盘缓冲区的大小。,（4）cache_effective_user squid。 设置使用缓存的有效用户。,cache_effective_user nobody,（5）cache_effective_group squid。 设置使用缓存的有效用户组，默认为squid组，也可更改。,15.4 squid代理服务器,15.4.4 配置squid服务器,1几个常用的选项,（6）dns_nameservers 00。 设置有效的DNS服务器的地址。 （7）cache_access_log /var/log/squid/access.log。 设置访问记录的日志文件。 （8）cache_log /var/log/squid/cache.log。 设置缓存日志文件。该文件记录缓存的相关信息。 （9）cache_store_log /var/log/squid/store.log。 设置网页缓存日志文件。网页缓存日志记录了缓存中存储对象的相关信息，例如存储对象的大小、存储时间、过期时间等。,15.4 squid代理服务器,15.4.4 配置squid服务器,1几个常用的选项,（10）visible_hostname 。 visible_hostname字段用来帮助Squid得知当前的主机名，如果不设置此项，在启动Squid的时候就会碰到“FATAL：Could not determine fully qualified hostnamePlease set visible hostname”这样的提示。当访问发生错误时，该选项的值会出现在客户端错误提示网页中。 （11）cache_mgr master。 设置管理员的邮件地址。当客户端出现错误时，该邮件地址会出现在网页提示中，这样用户就可以写信给管理员来告知发生的事情。,15.4 squid代理服务器,15.4.4 配置squid服务器,2设置访问控制列表,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.5 配置透明代理,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.6 squid服务器配置实例,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,15.4 squid代理服务器,15.4.4 配置squid服务器,总结,本项目的解决方案: /1. 清空所有的链规则 rootServer # iptables -F /2. 禁止iptables防火墙转发任何数据包 rootServer # iptables -P FORWARD DROP /3. 建立来自Internet网络的数据包的过滤规则 # iptables -A FORWARD p tcp d p tcp -dport 80 -i eth0 -j ACCEPT # iptables -A FORWARD p tcp d -p tcp -dport 53 -i eth0 -j ACCEPT # iptables -A FORWARD p tcp d -p tcp -dport 25 -i eth0 -j ACCEPT # iptables -A FORWARD p tcp d -p tcp -dport 110 -i eth0 -j ACCEPT /4. 接受来自内网的数据包通过 rootServer # iptables -A FORWARD s /24 j ACCEPT /5. 对于所有的ICMP数据包进行限制，允许每秒通过