LINUX网络服务管理：代理服务器与防火墙

Chapter,1,第6章内容回顾,SMTP、POP3和IMAP是邮件系统中使用的网络协议，可实现邮件的发送和收取Sendmail是RHEL4系统中缺省安装使用的邮件服务器dovecot服务器可提供pop3和imap4服务通过OpenWebmail提供的界面用户可以使用浏览器管理邮箱和收发邮件使用Sendmail、dovecot和OpenWebmail可以构建完整的邮件应用系统,Chapter,2,代理服务器与防火墙,第7章,Chapter,3,本章目标,了解防火墙和代理服务器的基本概念掌握Linux系统中的防火墙管理掌握squid代理服务器管理麦新衣时尚女装商城,Chapter,4,本章结构,Chapter,5,应用层代理,应用层代理的基本概念应用层代理针对特定的网络协议提供代理服务HTTP代理和FTP代理是应用层代理的典型应用使用代理服务器可以解决的问题局域网中的所有主机都可以通过同局域网中具有互联网访问能力的代理服务器主机进行外部网络的访问代理服务器对已经访问过的内容提供缓存，可有效的减少对外部网络的访问流量，并能够提高频繁访问的页面的访问效率通过代理服务器可以进行一定程度的访问控制，可以对客户端和被访问页面进行控制,Chapter,6,代理服务的应用原理,代理服务器工作在TCP/IP的应用层,Chapter,7,网络层防火墙,网络防火墙软件的主要功能对进入和流出的IP数据包进行过滤，屏蔽不符合要求的数据包，保证内部网络的安全提供数据包的路由选择，实现网络地址转换（NAT），从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求防火墙的类型硬件防火墙是功能专一的硬件设备，价格昂贵软件防火墙的功能是由计算机中的软件实现的，具有相当大的价格优势,Chapter,8,网络层防火墙的应用原理,网络防火墙工作在TCP/IP的网络层,Chapter,9,Linux中代理服务和防火墙的实现,Linux中使用软件实现代理和防火墙功能使用netfilter/iptables架构实现网络防火墙的基本功能使用squid服务器软件实现HTTP服务的代理功能麦新衣时尚女装商城,Chapter,10,Linux防火墙软件的发展与实现,Linux中的防火强功能是由内核实现的在2.0内核中，网络防火墙的操作工具名称是ipfwadm在2.2内核中，网络防火墙的操作工具名称是ipchains在2.4之后的内核中，网络防火墙的操作工具名称是iptablesnetfilter与iptables在Linux的内核中使用netfilter架构实现防火墙功能iptables是Linux系统中为用户提供的netfilter管理工具，用于实现对Linux内核中网络防火墙的管理,Chapter,11,iptables规则链,iptables缺省具有5条规则链,Chapter,12,iptables规则表,iptables缺省具有3个规则表Filter：用于设置包过滤NAT：用于设置地址转换Mangle：用于设置网络流量整形等应用不同的规则表由不同的规则链组成Filter：INPUT、FORWARD、OUTPUTNAT：PREROUTING、POSTROUTING、OUTPUTMangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD,Chapter,13,netfilter/iptables的典型应用,netfilter/iptables的典型应用作为主机防火墙实现外部网络与主机之间的访问控制作为网络防火墙提供外部网络与内部网络的访问控制作为网关服务器实现网络地址转换（NAT）功能，实现内部网络通过网关主机共享访问外部网络netfilter/iptables可以在Linux系统中实现网络防火墙的各种常用功能,Chapter,14,iptables的软件包组成,RHEL4中的iptables软件包#rpm-qiptablesiptables-1.2.11-3.1.RHEL4iptables软件包中的管理命令iptables是主要的管理命令，对网络防火墙功能的管理都是通过iptables命令实现的iptables-save命令可以将当前系统中的防火墙设置进行保存iptables-restore命令可以将使用iptables-save命令保存的防火墙策略配置恢复到当前系统中,Chapter,15,iptables服务的启动与停止,iptables服务启动脚本/etc/rc.d/init.d/iptablesiptables配置文件与策略设置文件iptables配置文件/etc/sysconfig/iptables-config策略设置文件/etc/sysconfig/iptablesiptables服务的启动与停止iptables服务缺省自动启动可通过启动脚本手工启动和停止iptables服务#serviceiptablesstart,Chapter,16,查看防火墙的基本状态,查询防火墙的状态使用iptables命令查询防火墙状态#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination,Chapter,17,使用iptables命令进行策略设置,iptables命令是对防火墙配置管理的核心命令iptables命令提供了丰富的功能，可以对Linux内核中的netfilter防火墙进行各种策略的设置iptables命令的设置在系统中是即时生效的使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失麦新衣时尚女装商城,Chapter,18,使用iptables-save命令保存设置,iptables-save命令提供了防火墙配置的保存功能iptables-save命令缺省只将配置信息显示到标准输出（屏幕）中#iptables-save如果需要将iptables-save命令的输出保存，需要将命令输出结果重定向到指定的文件中#iptables-saveipt.v1.0使用iptables-save命令可以将多个版本的配置保存到不同的文件中,Chapter,19,使用iptables-restore命令恢复设置,iptables-restore命令可恢复防火墙设置iptables-restore命令可恢复使用iptables-save命令保存的防火墙设置内容iptables-restore命令从标准输入或输入重定向文件中获取防火墙的设置内容#iptables-restore-oppp0-jMASQUERADE,“-tnat-APOSTROUTING”表示在nat表的POSTROUTING规则链中添加规则,“-s/24”表示数据包的源地址为“/24”子网,“-oppp0”表示数据包的流出网络接口是“ppp0”，“ppp0”网络接口具有公网IP地址,“-jMASQUERADE”表示对数据包进行的处理，即将符合条件的数据包进行IP伪装,Chapter,30,阶段总结,代理服务器和网络防火墙工作在不同的协议层在Linux系统中内核提供包过滤防火墙功能，使用squid服务器实现代理服务器功能netfilter是Linux内核中的包过滤框架，iptables是对netfilter的管理工具使用iptables可设置Linux系统实现各种常用的网络防火墙功能,Chapter,31,阶段练习,查看Linux系统中iptables软件包中包括的文件，并查询iptables服务的启动状态使用iptables命令查看filter规则表的设置内容麦新衣时尚女装商城,Chapter,32,squid服务器的功能,squid服务具有以下基本功能提供对HTTP和FTP协议的代理服务缓存代理的内容，提高客户端访问网站的速度，并能够节约出口网络流量对客户端地址进行访问控制，限制允许访问squid服务器的客户机对目标地址进行访问控制，限制客户端允许访问的网站根据时间进行访问控制，限定客户端可以使用代理服务的时间,Chapter,33,squid服务器的代理工作机制,squid服务器具有代理和缓存的基本功能,数据缓存,代理进程,远端服务器,客户端,Chapter,34,squid服务器的安装,squid服务器在RHEL4系统中已经默认安装#rpm-qsquidsquid-2.5.STABLE6-3squid服务的启动状态squid服务程序在RHEL4中默认不自动启动需要用chkconfig命令设置squid服务在运行级别3和5中自动启动#chkconfig-level35squidon,Chapter,35,squid服务启动前的准备,确认主机具有完整的域名squid服务运行需要Linux主机具有完整的域名#grephostname/etc/hostssquid服务器的初始化在第一次使用squid服务器之前需要先对squid服务器进行初始化工作#squid-z初始的主要作用是在squid服务器的工作目录中建立需要的子目录#ls/var/spool/squid/000102030405060708090A0B0C0D0E0F,Chapter,36,squid服务的启动与停止,启动脚本squid服务的启动脚本名称是“squid”/etc/init.d/squid启动与停止squid服务启动squid服务#servicesquidstart停止squid服务#servicesquidstop服务端口squid服务器的缺省服务端口为3128,Chapter,37,squid服务的配置文件3-1,配置目录squid具有独立的目录保存配置文件/etc/squid/主配置文件主配置文件squid.conf保存在配置目录中/etc/squid/squid.confsquid.conf文件中的配置选项配置服务端口http_port3128,Chapter,38,squid服务的配置文件3-2,squid.conf文件中的配置选项缓冲内存数量cache_mem8MB“cache_mem”的值设置为服务器物理内存的三分之一比较合适工作目录cache_dirufs/var/spool/squid10016256“cache_dir”设置项的缺省值为设置“/var/spool/squid”作为squid的工作路径，“10016256”分别表示，目录中最大的容量是100MB，目录中的一级子目录的数量为16个，二级子目录为“256”个,Chapter,39,squid服务的配置文件3-3,squid.conf文件中的配置选项访问控制设置“http_access”用于设置允许或拒绝访问控制对象http_accessallowlocalhosthttp_accessdenyall访问控制列表（ACL）的定义“acl”配置项用于设置访问控制列表的内容aclallsrc/acllocalhostsrc/55重新启动squid服务对squid.conf文件修改后需要重新启动服务程序#servicesquidrestart,Chapter,40,配置透明代理服务器,配置squid服务器修改squid.conf配置文件中的设置#vi/etc/squid/squid.conf/在配置文件中添加以下的配置行httpd_accel_hostvirtualhttpd_accel_port80httpd_accel_with_proxyonhttpd_accel_uses_host_headeron重新启动squid服务器#servicesquidreload设置防火墙策略#iptables-tnat-APREROUTING-s/24-ptcp-dport80-jREDIRECT-to-ports3128,“-tnat-APREROUTING”表示在nat表的PREROUTING规则链中添加规则,“-s/24”表示数据包的源地址为“/24”子网,“-ptcp”表示数据包的协议为“tcp”，“-dport80”表示数据包访问的目的端口为“80”，即标准的WWW服务,“-jREDIRECT”表示将符合条件的数据包进行重定向，“-to-ports3128”表示将数据包重定向到“3128”端口，“3128”端口是squid服务器提供网页代理服务的端口,Chapter,41,网页浏览器的代理设置,透明代理如果网关配置为透明代理将不需要在网络浏览器中进行任何的代理设置使用代理服务器直接使用squid代理服务器需要在浏览器中进行代理服务器的信息设置,Chapter,42,阶段总结,squid是著名的代理服务器软件，可实现HTTP和FTP协议的代理功能squid服务器的基本功能包括代理服务和内容缓存服务squid服务器的主配置文