RHCE技术培训-网络资源访问控制介绍

1、RedHat RHCE 操作系统技术培训资料网络资源访问控制介绍单元 3 网络资源访问控制目标路由IPv6实施 IPv6IPv6：动态接口配置IPv6：静态接口配置IPv6：路由配置tcp_wrappers 和 IPv6新增的和修改过的程序Netfilter 总览Netfilter 表和 Netfilter 链Netfilter 的数据包流程匹配规则规则目标简单的例子基本的链操作额外的链操作规则：通常要考虑的因素匹配参数连接跟踪连接跟踪（续）连接跟踪示例网络地址转换（NAT）DNAT 示例SNAT 实例规则持续性/etc/sysconfig/iptablesIPv6 和 ip6tables结束

2、 单元 3目标学习了本单元后，你应该能够： 描述 IP 和路由 比较 IPv4 和 IPv6 描述 IPv6 的特性 了解 Netfilter 的体系 学习使用 iptables 命令 了解网络地址转换（Network Address Translation ，NAT）路由 路由器在不同的网络之间传输数据包 每台机器都需要一个默认的网关来访问本地网络之外的主机 用 route 命令可以设置附加路由IPv6 特性（IP 版本 6） 更大的地址范围 128 位地址空间 扩展的地址层次 灵活的标题格式 基本标题 40 个八进制数字 随后的标题字段支持用于当前以及未来扩展的可选标题（Optional

3、Header） 对自动配置的更多支持 链接本地地址 路由器广告守护进程 动态主机配置协议版本6实施 IPv6 内核 ipv6 模块启用无状态的自动配置（stateless autoconfiguration） 被 /etc/rc.d/init.d/network 初始化脚本实施的额外配置 在 /etc/sysconfig/network 中的 NETWORKING_IPV6=yes 在 /etc/sysconfig/network-scripts/ifcfg-ethX 中的 IPV6INIT=yesIPv6：动态接口配置 有两种动态配置 IPv6 地址的方法 : 路由器广告守护进程 在（Lin

4、ux）默认的网关上运行 radvd 只指定前缀和默认网关 使用 IPV6_AUTOCONF=yes 来启用 根据系统的 MAC 地址自动生成接口 ID DHCP 版本 6 dhcp6s 支持更多配置选项 使用 DHCPV6C=yes 启用IPv6: 静态接口配置 /etc/sysconfig/network-scripts/ifcfg-ethX IPV6ADDR=/prefix_length 不必要使用设备别名 IPV6ADDR_SECONDARIES=/prefix_length IPv6：配置 默认网关 根据 radvd 或者 dhcpv6s 动态配置 在 /etc/sysconfig/n

5、etwork 中手动指定 IPV6_DEFAULTGW= IPV6_DEFAULTDEV= - 只适用于点对点接口 静态路由 460在 /etc/sysconfig/network-scripts/route6-ethX 中逐接口定义 使用 ip -6 route add 语法 via tcp_wrappers 和 IPv6 tcp_wrappers 会注意到 IPv6 当域内安全实施了 IPv6 时，请确定 tcp_wrappers 规则中含有 IPv6 地址 例如 : 保留 localhost 连接性，将其添加到 /etc/hosts.allow 文件中 ALL：:1新增的和修改过的程序

6、ping6 traceroute6 tracepath6 ip -6 host t AAAA hostname6.domain6Netfilter 总览 在内核中过滤 : 无守护进程 在 OSI 参考模型 （OSI Reference Model）的第 2、3、4 层插入策略 只查看数据包标题 由内核中的 netfilter 模块和 iptables 用户空间软件构成Netfilter 表和 Netfilter 链Netfilter 的数据包流程匹配规则 按顺序排列的规则 按规则顺序测试数据包 首次匹配后会评估目标 : 通常推出链 规则可以指定多个匹配条件 必须满足规则说明中的每个条件才算是匹

7、配（逻辑 AND） 如果无匹配则应用 链策略规则目标 内置目标 : DROP、ACCEPT 扩展目标 : LOG、REJECT、定制链（custom chain） REJECT 给发送者返回一个通知 LOG 连接系统日志内核工具 LOG 匹配不会从链中退出 目标是可选的，但是每条规则最多只能有一个目标，如没有目标，就默认使用链的策略简单的例子 Filter 表中的 INPUT 规则 ：基本的链操作 列出某个链或表中的规则（-L 或 -vL） 在链中后补规则（-A） 在链中插入规则（-I） -I （作为第一条规则插入） -I 3（作为第三条规则插入） 删除某个规则（-D） -D 3（删除链中的第

8、三条规则） -D （明确删除规则）额外的链操作 分配链策略（-P ） ACCEPT （默认，是内置目标） DROP （是内置目标） REJECT （不允许，是扩展目标） 清除某个链的所有规则（-F） 不会清除策略 把字节和数据包计数器重设为零（-Z z） 有助于监控链统计数据 管理定制链 （-N、-X） -N （添加链） -X （删除链）规则 : 通常要考虑的因素 更适用于几乎关闭的系统 iptables P INPUT DROP 或 iptables A INPUT j DROP iptables A INPUT j REJECT 条件也适用于回送接口 以上的规则示例有个一个副作用，它会阻止

9、 localhost ！ 和路由一样，规则被载入内存，因此必须被保存到文件中才能在重启后持续有效匹配参数 匹配的项目可以是 ： IP 地址或主机名 警告 : 在插入规则时，主机名必须能够被解析 端口号码或服务名称 参数可以使用“！”来否定 包括的端口范围可以使用“0:1023”来指定 掩码可以使用 VLSN 或 CIDR 格式连接跟踪 提供对数据包“状态”的检查 可以在指定环境中测试数据包 简化规则设计 不进行连接跟踪，规则通常是成对出现的（进入和输出） 在“状态”匹配扩展中实施 可识别的状态 ：NEW、ESTABLISHED、RELATED、INVALID 需要更多内存连接跟踪（续） 连接跟

10、踪模块 ip_conntrack_ftp ip_conntrack_tftp ip_nat_ftp ip_nat_tftp（及其它） /etc/sysconfig/iptables-config连接跟踪示例 使用一条规则来允许建立连接 : iptables A INPUT m state -state ESTABLISHED,RELATED j ACCEPT 使用多条规则来跟踪，每个许可的服务都有一条规则 ： iptables A INPUT m state -state NEW p tcp -dport 25 -j ACCEPT 最后，使用一条规则来阻止所有其它进入的连接 ： iptable

11、s A INPUT m state -state NEW j DROP 网络地址转换（NAT） 将一个 IP 地址转换成另一个（进入和输出） 允许您将内部的 IP 地址 “隐藏”在一个公共 IP 地址后面 在 nat 表中设置规则 网络地址转换类型 ： 目的地 NAT（DNAT）- 在使用被转换的地址进行过滤的 PREROUTING 链中设置 源 NAT（SNAT,MASQUERADE） - 在从不使用被转换的地址进行过滤的 PREROUTING 链中设置DNAT 示例 INBOUND（进入） iptables t nat A PREROUTING p tcp -dport 80 j DNAT

12、 -to-dest 0 OUTBOUND （输出，带有端口重定向） iptables t nat A OUTPUT p tcp -dport 80 j DNAT -to-dest 00:3128SNAT 示例 MASQUERADE iptables t nat A POSTROUTING o eth0 j MASQUERADE SNAT iptables t nat A POSTROUTING J SNAT -to-source 5规则持续性 iptables 不是守护进程，它将规则载入内存后退出 规则在每次重启间不是持续的 service iptables save 命令会将规则保存在 /etc/sysconfig/iptables 文件中（请确定为该文件设置了正确的 SELinux 环境 ！） 可使用系统 V （System V ）管理，并在配置联网前运行/etc/sysconfig/iptables 示例 filter :INPUT DROP 573:46163:FORWARD ACCEPT 0:0:OUTPUT ACCEPT 641:68532-A INPUT i lo j ACCEPT