linu_网关及安全应用-第3章(配置iptables防火墙二)理论课教案.doc

linux网关及安全应用理论课教案第3章（配置iptables防火墙二)linux网关及安全应用理论课教案1一.课程回顾1二.本章工作任务(问题列表)1三.本章技能目标2四.本章重点难点24.1课程重点24.2课程难点2五.整章授课思路 100分钟25.1本章授课思路：25.2预习检查、任务、目标部分 10分钟25.3 技能点讲解80分钟35.4 总结 6分钟 采用提问方式，注意引导学员回答重点即可！7六. 布置作业：4 分钟86.1本章作业86.2 作业的提交方式与要求86.3 课后习题答案8七习题8课时：2学时授课人：焦可伟一. 课程回顾1. iptables与netfilter的作用及区别是什么？2. iptables命令的语法格式包括哪些组成部分？3. 若设置iptables规则时未指定表名，默认使用哪个表？4. 设置显式匹配条件时，需要注意什么？5. 防火墙对数据包的常见处理方式包括哪些？二.本章工作任务(问题列表)1. 公司使用Linux系统作为网关服务器，应如何设置才能使局域网用户接入Internet？2. 公司申请的唯一公网IP地址已被Linux网关服务器使用，而网站服务器在局域网内的另一台机器，在网关上应如何配置才能让Internet上的客户端访问该网站服务器？3. 在网关服务器上应做哪些设置，以便在家里也能通过Internet远程管理公司内部的服务器？4. 在Linux网关服务器上，如何限制内网用户使用QQ、MSN以及BT下载等？三.本章技能目标q 会使用SNAT策略配置共享上网q 会使用DNAT策略发布企业内网的应用服务q 会为Linux防火墙增加应用层过滤功能四.本章重点难点4.1课程重点q SNAT策略及其应用q DNAT策略及其应用q 使用Layer7应用层过滤4.2课程难点q SNAT的原理q DNAT的原理q 重新编译Linux内核(强调：这个知识点即是重点也是难点，需要在课上强调)五.整章授课思路 100分钟5.1本章授课思路：本章主要以案例的形式讲述iptables防火墙的几种典型企业应用：(1)、局域网共享上网；(2)、Internet中发布内网服务器；(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。先讲解原理，再演示案例。章节内容共分三个小节。5.2预习检查、任务、目标部分 10分钟1) 预习检查：(2分钟)n Iptables的典型应用有哪些？n 什么是SNATn 什么是DNATn Linux内核编译的概念2）技能目标讲解：(4分钟)(一) 会使用SNAT策略配置共享上网(二) 会使用DNAT策略发布企业内网的应用服务(三) 会为Linux防火墙增加应用层过滤功能3) 课程结构：(4分钟)5.3 技能点讲解80分钟1) SNAT策略及应用 20分钟a)引入：介绍企业局域网接入Internet的需求，来引出iptables的应用SNAT。b)讲解要点：SNAT策略的应用环境（通过SNAT实现共享上网）SNAT策略的原理通过SNAT实现MASQUERADE（IP地址伪装），主要强调在整个过程中，数据包在数据流中的变化。重点是MASQUERADE的作用和特点。SNAT策略的应用SNAT典型应用于局域网共享上网的接入，而处理数据包的切入时机，主要选择在路由选择之后(POSTROUTING)进行。SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。SNAT只能用于NAT表的POSTROUTING链。网关使用动态公网IP地址的情况如果是通过ADSL拨号方式连接Internet，则外网接口名称通常为 ppp0、ppp1等c)课堂案例：案例一：SNAT应用iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT -to-source 1案例二：网关使用动态公网IP地址的情况2) DNAT策略及应用20分钟a)引入：介绍在Internet中发布内网应用服务器的需求，引出DNAT的应用。b)讲解要点：DNAT策略的应用环境在Internet中发布位于企业局域网内的服务器。DNAT策略的原理目标地址转换，Destination Network Address Translation；修改数据包的目标IP地址；DNAT策略的应用通过DNAT策略同时修改目标端口号使用形式：只需要在“-to-destination”后的目标IP地址后面增加“:端口号”即可，即： -j DNAT -to-destination 目标IP:目标端口c)课堂案例：案例一：DNAT策略应用iptables -t nat -A PREROUTING -i eth0 -d 1 -p tcp -dport 80 -j DNAT -to-destination 案例二：通过DNAT策略同时修改目标端口号d)小结 采用提问方式，注意引导学员回答重点即可！1. SNAT策略的核心用途是什么？SNAT：修改数据包源地址2. DNAT策略的核心用途是什么？DNAT：修改数据包目标地址、目标端口3. SNAT、DNAT策略在企业中包括哪些典型应用？SNAT典型应用 实现局域网用户共享单个公网IP地址接入InternetDNAT典型应用 在Internet中发布局域网内的应用服务器（如网站、邮件等）4. 如果企业的网关主机通过ADSL动态地址接入Internet网络，应如何设置共享上网策略？公网IP地址为动态获取时，建议采用MASQUERADE策略代替SNAT策略，这样无需指定固定的转换IP地址3) 使用Layer7应用层过滤功能 30分钟a)引入：通过介绍现有iptables防火墙体系的不足，引出使用内核及防火墙扩展补丁的必要性。iptables防火墙是基于内核中的netfilter机制的，因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b)讲解要点：使用Layer7应用层过滤功能默认 netfilter/iptables 体系的不足：q 以基于网络层的数据包过滤机制为主，同时提供少量的传输层、数据链路层的过滤功能q 难以判断数据包对应于何种应用程序（如QQ、MSN）整体实现过程：1. 添加内核补丁，重新编译内核，并以新内核引导系统2. 添加iptables补丁，重新编译安装iptables3. 安装l7-protocols协议定义包4. 使用iptables命令设置应用层过滤规则重新编译新内核1. 释放内核源码包，并合并补丁2. 配置内核编译参数：make menuconfig3. 需要配置哪些内核编译参数4. 重新编译新内核：make-make modules_install-make install重新编译安装iptables工具1. 先卸载原有的iptables软件包2. 合并补丁，并编译安装新的iptables工具安装L7-protocols协议定义包解包后直接执行“make install”命令即可设置应用层过滤规则q 匹配格式：-m layer7 -l7proto 协议名q 协议定义文件位于：/etc/l7-protocols/protocolsq 支持以下常见应用层协议的过滤q qq：腾讯公司QQ程序的通讯协议q msnmessenger：微软公司MSN程序的通讯协议q msn-filetransfer：MSN程序的文件传输协议q bittorrent：BT下载类软件使用的通讯协议q xunlei：迅雷下载工具使用的通讯协议q edonkey：电驴下载工具使用的通讯协议其他各种应用层协议：ftp、http、dns、imap、pop3q 规则示例：过滤使用qq协议的转发数据包 iptables -A FORWARD -m layer7 -l7proto qq -j DROP5.4 总结 6分钟 采用提问方式，注意引导学员回答重点即可！提问：(一) 通过SNAT策略实现共享上网应用时，需要将内网访问Internet数据包的源IP地址修改为哪个地址？(二) 通过DNAT策略发布内网服务器时，主要针对访问哪个IP地址的数据包修改其目标地址？(三) 重新编译Linux内核时，执行“make menuconfig”步骤后建立的配置文件名称是什么（.config）？六. 布置作业：4 分钟6.1本章作业a)课后选择题：P77b)课后简答题：P81 题1、2、3、4、5c)抄写和背诵本章单词列表d)完成本章实验案例一、案例二6.2 作业的提交方式与要求a)课后选择题：把答案写在课本上b)课后简答题：作业写在作业本上，下次上课提交c)抄写和背诵本章单词列表：写在作业本上，至少5遍d)完成本章实验案例一和案例二：提交实验报告6.3 课后习题答案1. B2. D3. CD4. BD5. AC七 习题1 公司的网关服务器使用了Linux操作系统。网关上有两块网卡：其中eth0连接Internet，使用固定IP地址1/30；eth1连接局域网，使用固定IP地址/24，局域网内各主机的默认网关设置为，且已经设置了正确的DNS服务器，现需要在Linux网关主机中进行正确配置，以使/24网段的局域网用户能够通过共享方式访问Internet。可以使用( )A. iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT -to-source 1B. iptables -t nat -A POSTROUTING -s /24 -o eth0 -j DNAT -to-source 1C. iptables -t nat -A PREROUTING -s /24 -o eth0 -j SNAT -to-source 1D. iptables -t nat -A PREROUTING -s /24 -o eth0 -j DNAT -to-source 1正确答案：A考点：配置SNAT策略实现局域网共享上网 2 公司在ISP注册了域名，并对应于Linux网关的外网接口（eth0）地址：1，公司的网站服务器位于局域网内，IP地址为，Internet用户可以通过访问来查看公司的网站内容。可以( )A. iptables -t nat -A PREROUTING -i eth0 -d 1 -p tcp -dport 80 -j SNAT -to-destination B. iptables -t nat -A PREROUTING -i eth0 -d 1 -p tcp -dport 80 -j DNAT -to-destination C. iptables -t nat -A POSTROUTING -i eth0 -d 1 -p tcp -dport 80 -j DNAT -to-destination D. iptables -t