防火墙与代理服务器.ppt

Linux网络操作系统与实训 第2版 中国铁道出版社 孙丽娜孔令宏杨云主编李斌姜庆玲梁明亮副主编 教材地址 Windows Linux教师交流群 189934741 第15章防火墙与代理服务器 1 项目课题引入 2 防火墙概述 3 iptables 4 NAT 5 squid代理服务器 课题引入 项目背景 假设某单位租用DDN专线上网 网络拓扑如下图所示 iptables防火墙的eth0接口连接外网 IP地址为222 206 160 100 eth1接口连接内网 IP地址为192 168 1 1 假设在内网中存在WEB DNS和E mail3台服务器 这3台服务器都有公有IP地址 其IP地址如图所示 设置防火墙规则加强对内网服务器的保护 并允许外网的用户可以访问此3台服务器 课题引入 项目分析 完成本项目需要解决的问题 1 什么是防火墙 其工作原理是什么2 如何使用Iptables进行防火墙设置3 如何配置包过滤防火墙4 如何实现NAT5 什么是代理服务器 其工作原理是什么6 squid代理服务器的安装 启动与运行方法7 squid服务器的配置方法8 透明代理的配置方法 课题引入 教学目标 学习本课需要实现的教学目标 掌握防火墙的概念和工作原理掌握Iptables的结构和配置方法掌握包过滤防火墙的配置方法掌握NAT的配置方法掌握代理服务器的工作原理掌握代理服务器的启动与停止方法掌握代理服务器配置文件的修改方法掌握代理服务器的配置方法掌握透明代理的配置方法 课题引入 应达到的职业能力 学生学习本课后应该具有的职业能力 掌握为企业设计防火墙的能力掌握Linux下Iptables的配置方法掌握包过滤防火墙的配置能力掌握NAT的配置能力进行squid代理服务器的配置能力进行透明代理服务器的配置能力具有较好的团队合作能力 15 1防火墙概述 15 1 1防火墙的概念 15 1防火墙概述 15 1 2iptables简介 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 2iptables工作原理netfilter的5条链相互地关联 如图15 1所示 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 2iptables工作原理2 iptables工作流程 15 2iptables 15 2 2iptables工作原理 15 2iptables 15 2 3安装iptables 15 2iptables 15 2 3安装iptables 15 2 4iptables命令 15 2iptables 15 2iptables 15 2 4iptables命令 15 2iptables 15 2 4iptables命令 15 2iptables 15 2 4iptables命令 15 2iptables 15 2 4iptables命令 15 2iptables 15 2 5iptables命令使用举例 15 2iptables 15 2 5iptables命令使用举例 15 2iptables 15 2 5iptables命令使用举例 15 2iptables 15 2 5iptables命令使用举例 15 2iptables 15 2 5iptables命令使用举例 15 3NAT 15 3 1NAT的基本知识 NAT的工作过程 1 客户机将数据包发给运行NAT的计算机 2 NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址 然后将数据包发给外部网络的目的主机 同时记录一个跟踪信息在映像表中 以便向客户机发送回答信息 3 外部网络发送回答信息给NAT 4 NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机 15 3NAT 15 3 1NAT的基本知识 NAT的工作过程示意图 15 3NAT 15 3 1NAT的基本知识 NAT的分类 1 源NAT SourceNAT SNAT SNAT指修改第一个包的源IP地址 SNAT会在包送出之前的最后一刻做好Post Routing的动作 Linux中的IP伪装 MASQUERADE 就是SNAT的一种特殊形式 2 目的NAT DestinationNAT DNAT DNAT是指修改第一个包的目的IP地址 DNAT总是在包进入后立刻进行Pre Routing动作 端口转发 负载均衡和透明代理均属于DNAT 15 3NAT 15 3 2使用Iptables实现NAT 用户根据规则所处理的信息包类型 使用iptables命令设置NAT规则 要做源IP地址转换的数据包的规则被添加到POSTROUTING链中 要做目的IP地址转换的数据包的规则被添加到PREROUTING链中 直接从本地出去的数据包的规则被添加到OUTPUT链中 15 3NAT 15 3 2使用Iptables实现NAT 数据包穿越NAT的工作流程示意图 15 3NAT 15 3 2使用Iptables实现NAT 例15 10 假设某企业网中NAT服务器安装了双网卡 eth0连接外网 eth1连接内网 IP地址为192 168 0 1 企业内部网络的客户机都只有私有IP地址 利用NAT服务使企业内部网络的计算机能够连接Internet网络 15 3NAT 15 3 2使用Iptables实现NAT 假设eth0的IP地址是静态分配的 公网IP地址池为222 206 160 100 222 206 160 150 此时应作SNAT iptables命令的 j参数的语法格式为 jSNAT to source toIP1 IP2 port1 port2 配置步骤 打开Linux的内核转发功能 root Server echo 1 proc sys net ipv4 ip forward实现SNAT root Server iptables tnat APOSTROUTING ptcp oeth0 jSNAT to222 206 160 100 222 206 160 150 1025 30000 15 3NAT 15 3 2使用Iptables实现NAT 假设连接外网的接口是利用ADSL拨号连接的ppp0 此时应作IP伪装 iptables命令的 j参数的语法格式为 jMASQUERADE配置步骤 打开Linux的内核转发功能 root Server echo 1 proc sys net ipv4 ip forward实现IP伪装 root Server iptables tnat APOSTROUTING oppp0 jMASQUERADE 15 3NAT 15 3 2使用Iptables实现NAT 例15 11 假设某企业网中NAT服务器安装了双网卡 eth0连接外网 IP地址为222 206 160 100 eth1连接内网 IP地址为192 168 0 1 企业内部网络WEB服务器的IP地址为192 168 1 2 要求当Internet网络中的用户在浏览器中输入http 222 206 160 100时可以访问到内网的WEB服务器 15 3NAT 15 3 2使用Iptables实现NAT 根据题目要求可知 此时应作DNAT iptables命令的 j参数的语法格式为 jDNAT to destination toIP1 IP2 port1 port2 实现DNAT的配置语句 iptables tnat APREROUTING ptcp d222 206 160 100 dport80 jDNAT to192 168 1 2 80或者 iptables tnat APREROUTING ptcp ieth0 dport80 jDNAT to192 168 1 2 80 15 4squid代理服务器 15 4 1代理服务器的工作原理 15 4squid代理服务器 15 4 1代理服务器的工作原理 15 4squid代理服务器 15 4 2代理服务器的作用 1 提高访问速度 2 用户访问限制 3 安全性得到提高 15 4squid代理服务器 15 4 3安装 启动与停止Squid服务 15 4squid代理服务器 15 4 3安装 启动与停止Squid服务 15 4squid代理服务器 15 4 3安装 启动与停止Squid服务 15 4squid代理服务器 15 4 3安装 启动与停止Squid服务 15 4squid代理服务器 15 4 4配置squid服务器 1 几个常用的选项 1 http port3128 http port192 168 2 254 8080 2 cache mem512MB 内存缓冲设置是指需要使用多少内存来作为高速缓存 3 cache dirufs var spool squid409616256 用于指定硬盘缓冲区的大小 4 cache effective usersquid 设置使用缓存的有效用户 cache effective usernobody 5 cache effective groupsquid 设置使用缓存的有效用户组 默认为squid组 也可更改 15 4squid代理服务器 15 4 4配置squid服务器 1 几个常用的选项 6 dns nameservers220 206 160 100 设置有效的DNS服务器的地址 7 cache access log var log squid access log 设置访问记录的日志文件 8 cache log var log squid cache log 设置缓存日志文件 该文件记录缓存的相关信息 9 cache store log var log squid store log 设置网页缓存日志文件 网页缓存日志记录了缓存中存储对象的相关信息 例如存储对象的大小 存储时间 过期时间等 15 4squid代理服务器 15 4 4配置squid服务器 1 几个常用的选项 10 visible hostname192 168 0 3 visible hostname字段用来帮助Squid得知当前的主机名 如果不设置此项 在启动Squid的时候就会碰到 FATAL Couldnotdeterminefullyqualifiedhostname Pleaseset visiblehostname 这样的提示 当访问发生错误时 该选项的值会出现在客户端错误提示网页中 11 cache mgrmaster 设置管理员的邮件地址 当客户端出现错误时 该邮件地址会出现在网页提示中 这样用户就可以写信给管理员来告知发生的事情 15 4squid代理服务器 15 4 4配置squid服务器 2 设置访问控制列表 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 5配置透明代理 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 6squid服务器配置实例 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 15 4squid代理服务器 15 4 4配置squid服务器 总结 本项目的解决方案 1 清空所有的链规则 root Server iptables F 2 禁止iptables防火墙转发任何数据包 root Server iptables PFORWARDDROP 3 建立来自Internet网络的数据包的过滤规则 iptables AFORWARD ptcp d222 206 100 2 ptcp dport80 ieth0 jACCEPT iptables AFORWARD ptcp d222 206 100 3 ptcp dport53 ieth0 jACCEPT iptables AFORWARD ptcp d222 206 100 4 ptcp dport25 ieth0 jACCEPT iptables AFORWARD ptcp d222 206 100 4 ptcp dport110 ieth0 jACCEPT 4 接受来自内网的数据包通过 root Server iptables AFORWARD s222 206 100 0 24 jACCEPT 5 对于所有的ICMP数据包进行限制 允许每秒通过一个数据包 该限制的触发条件是10个包 root Server iptables AFORWAR