防火墙与NAT的配置与管理_第1页
防火墙与NAT的配置与管理_第2页
防火墙与NAT的配置与管理_第3页
防火墙与NAT的配置与管理_第4页
防火墙与NAT的配置与管理_第5页
已阅读5页,还剩26页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

防火墙与NAT的配置与管理 结束 防火墙概述包过滤防火墙原理Iptables配置防火墙NAT概述NAT的实现 Linux下的包过滤防火墙管理工具 从1 1内核开始 Linux就已经具有包过滤功能了 随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段 在2 0的内核中 采用ipfwadm来操作内核包过滤规则 在2 2的内核中 采用ipchains来控制内核包过滤规则 在2 4的内核中 采用一个全新的内核包过滤管理工具 iptables 现在最新Linux内核版本是2 4 1 在2 4内核中不再使用ipchains 而是采用一个全新的内核包过滤管理工具 iptables 这个全新的内核包过滤工具将使用户更易于理解其工作原理 更容易被使用 当然也将具有更为强大的功能 iptables作为一个管理内核包过滤的工具 iptables可以加入 插入或删除核心包过滤表格 链 中的规则 实际上真正来执行这些过滤规则的是Netfilter Linux核心中一个通用架构 及其相关模块 如iptables模块和nat模块等 包过滤原理 包过滤原理 1 如果数据包的目的地址是本机 则系统将数据包送往INPUT链 如果通过规则检查 则该包被发给相应的本地进程处理 如果没通过规则检查 系统就会将这个包丢弃 2 如果数据包的目的地址不是本机 也就是说 这个包将被转发 则系统将数据包送往FORWARD链 如果通过规则检查 则该包被发给相应的本地进程处理 如果没通过规则检查 系统就会将这个包丢掉 3 如果数据包是由本地系统进程产生的 则系统将其送往OUTPUT链 如果通过规则检查 则该包被发给相应的本地进程处理 如果没通过规则检查 系统就会将这个包丢掉 包的处理方式 Iptables AINPUT picmp jDROP处理方式 drop丢弃 accept接受 reject弹回Iptables L n查看如 允许sshiptables AINPUT ptcp d10 1 1 1 dport22 jACCEPTiptables AOUTPUT ptcp s10 1 1 1 sport22 jACCEPT Iptables管理防火墙 Iptables help more查看帮助改变默认策略iptables PINPUT FORWARD OUTPUTDROP保存 系统启动时会加载此文件种的配置serviceIptablessave或iptables save etc sysconfig iptables开启转发功能 echo1 proc sys net ipv4 ip forward若要永久生效 vi etc sysctl conf更改net ipv4 ip forward 1 19 1NAT概述 返回 19 1 1NAT的工作原理 19 1 2NAT的分类 结束 19 1 1NAT的工作原理 NAT是将一个地址段映射到另一个地址段的标准方法 NAT根据RFC1631开发的IETF标准 允许一个IP地址段以一个公有IP地址出现在Internet上 NAT可以将内部网络中的所有节点的地址转换成一个IP地址 反之亦然 返回 19 1 2NAT的分类 NAT按照所采用的地址转换技术可以分为三类 即静态NAT 动态NAT和端口NAT 静态NAT的设置最为简单 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址 动态NAT则是在外部网络中定义了一系列的合法地址 采用动态分配的方法映射到内部网络 这一系列外部网络的合法地址放在地址池中 因此动态NAT也常被称为NAT池 端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上 根据不同的需要 各种NAT方案有利有弊 本书在19 3节具体介绍这三种不同的地址转换方式 返回 19 2NAT的地址概念 返回 19 2 1内部本地地址 19 2 2内部全局地址 结束 19 2 3外部本地地址 19 2 4外部全局地址 19 2 1内部本地地址 内部本地地址 InsideLocalIPAddress 是指在内部网上分配到一个主机的IP地址 这个地址一般不是由网络信息中心NIC或服务提供商所分配的合法IP地址 而是私有地址 返回 19 2 2内部全局地址 内部全局地址 InsideGlobalIPAddress 是指合法的IP地址 由网络信息中心NIC或服务提供商分配 返回 19 2 3外部本地地址 外部本地地址 OutsideLocalIPAddresss 是指外部网络的主机地址 属于外部网络的私有地址 返回 19 2 4外部全局地址 外部全局地址 OutsideGlobalIPAddresss 是指外部网络主机的合法地址 返回 19 3NAT地址转换方式 返回 19 3 1静态地址转换 19 3 2动态地址转换 结束 19 3 3端口地址转换 19 3 1静态地址转换 静态地址转换过程如下 在NAT服务器上建立静态NAT映射表 当内部主机 IP地址为192 168 10 122 需要建立条到Intemet的会话连接时 首先将请求发送到NAT服务器上 NAT服务器接收到请求后 会根据接收到的请求数据包检查NAT表 返回 19 3 2动态地址转换 动态地址转换同样也是讲内部本地地址与内部全局地址进行一一转换 但是 动态的转换是从内部全局地址池中选择一个未使用的地址 与内部本地地址进行转 返回 19 3 3端口地址转换 端口地址转换本质上也是一种动态地址转换技术 但允许多个内部本地地址公用一个内部全局地址 端口地址转换适用于仅有少量内部全局地址 却需要经常有多个用户连接外部网络的企业或机构 返回 19 4NAT配置实例 返回 19 4 1实例模型 19 4 2配置NAT服务器 结束 19 4 3配置NAT客户端 19 4 1实例模型 在Linux和Windows环境下配置NAT的实例模型如下 返回 NAT转换 19 4 2配置SNAT服务器 SourceNAT在数据包送出之前改变数据包的源地址 参数如下 jSNAT定义SNAT to source指定转换后的源地址 port 可以简写成 to port 端口 是一个可选项 仅在指明TCP或UDP协议时使用 o出口接口 outgoinginterface 举例 把数据包源地址转换为1 2 3 4 iptables tnat APOSTROUTING oeth0 jSNAT to1 2 3 4 返回 配置SNAT SNAT配置举例 1 把数据包源地址转换为1 2 3 4 1 2 3 5或1 2 3 6iptables tnat APOSTROUTING oeth0 jSNAT to1 2 3 4 1 2 3 62 把数据包源地址转换为1 2 3 4 使用端口范围是1 1023iptables tnat APOSTROUTING ptcp oeth0 jSNAT to1 2 3 4 1 1023伪装 Masquerading 伪装是SourceNAT的一种特例 常用在诸如拨号上网等使用动态IP地址的情况下 伪装所有通过ppp0送出的数据包iptables tnat APOSTROUTING oppp0 jMASQUERADE注 有固定IP地址的时候也可以使用IP伪装 配置DNAT DestinationNAT 改变数据包中目的地址的值 参数如下 jDNAT定义DNAT to destination port 指定转换后的目标地址 port 可以简写成 to port 端口 是一个可选项 仅在指明TCP或UDP协议时使用 i入口接口 incominginterface 举例 转换数据包目标地址为5 6 7 8iptables tnat APREROUTING ieth0 jDNAT to5 6 7 8转换数据包目标地址为5 6 7 8 5 6 7 9or5 6 7 10 iptables tnat APREROUTING ieth0 jDNAT to5 6 7 8 5 6 7 10 配置DNAT 改变WWW访问请求的目标地址到5 6 7 8的8080端口iptables tnat APREROUTING ptcp dport80 ieth0 jDNAT to192 168 0 2 8080重定向 Redirection 重定向是DestinationNAT的一个特例 比如我们经常提到的squid透明 是把客户端对80端口的请求 WWW请求 重定向送到squid iptables tnat APREROUTING ieth1 ptcp dport80 jREDIRECT to port 19 4 3配置NAT客户端 1 Windows中的NAT客户端配置2 Linux中的NAT客户端配置 返回 19 5NAT的安全问题 返回 19 5 1NAT与代理服务 19 5 2NAT与防火墙 结束 19 5 2NAT与防火墙 19 5 1NAT与代理服务 用户经常把NAT和代理服务相混淆 然而两者是有很大区别的 NAT服务器对源机器和目标机器都是透明的 用户看不到 地址转换只在网络边界进行 而代理服务器是不透明的 源机器知道要通过代理服务器发出访问请求 并且 需要在源机器上将目标机器设置为代理服务器 将数据直接发送到代理服务器 由代理服务器将数据转发 返回 19 5 2NAT与防火墙 防火墙是基于网络层的安全系统 在网络之间执行访问控制策略 防火墙对流经它的通信数据进行分析 并能够过滤掉一些有攻击特征的数据 防火墙可以关闭不使用的端口 禁止特定端口的通信 还可以禁止来自特殊站点的访问 从而防止来自不明入侵者的所有通信 返回 19 5 3安全问题 如果单纯使用NAT技术 还会遇到以下方面的安全问题 NAT只对地址进行转换而不进行其他操作 因此 在建立了

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论