linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟

《linux网关及安全应用》理论课教案第3章（配置iptables防火墙二)《linux网关及安全应用》理论课教案 1一. 课程回顾 1二.本章工作任务(问题列表) 1三.本章技能目标 2四.本章重点难点 24.1课程重点 24.2课程难点 2五.整章授课思路[100分钟] 25.1本章授课思路： 25.2预习检查、任务、目标部分[10分钟] 25.3技能点讲解[80分钟] 35.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！ 7六.布置作业：[4分钟] 86.1本章作业 86.2作业的提交方式与要求 86.3课后习题答案 8七． 习题 8课时：2学时授课人：焦可伟课程回顾iptables与netfilter的作用及区别是什么？iptables命令的语法格式包括哪些组成部分？若设置iptables规则时未指定表名，默认使用哪个表？设置显式匹配条件时，需要注意什么？防火墙对数据包的常见处理方式包括哪些？二.本章工作任务(问题列表)公司使用Linux系统作为网关服务器，应如何设置才能使局域网用户接入Internet？公司申请的唯一公网IP地址已被Linux网关服务器使用，而网站服务器在局域网内的另一台机器，在网关上应如何配置才能让Internet上的客户端访问该网站服务器？在网关服务器上应做哪些设置，以便在家里也能通过Internet远程管理公司内部的服务器？在Linux网关服务器上，如何限制内网用户使用QQ、MSN以及BT下载等？三.本章技能目标会使用SNAT策略配置共享上网会使用DNAT策略发布企业内网的应用服务会为Linux防火墙增加应用层过滤功能四.本章重点难点4.1课程重点SNAT策略及其应用DNAT策略及其应用使用Layer7应用层过滤4.2课程难点SNAT的原理DNAT的原理重新编译Linux内核(强调：这个知识点即是重点也是难点，需要在课上强调)五.整章授课思路[100分钟]5.1本章授课思路： 本章主要以案例的形式讲述iptables防火墙的几种典型企业应用：(1)、局域网共享上网；(2)、Internet中发布内网服务器；(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。 先讲解原理，再演示案例。 章节内容共分三个小节。5.2预习检查、任务、目标部分[10分钟]1)预习检查：(2分钟)Iptables的典型应用有哪些？什么是SNAT什么是DNATLinux内核编译的概念2）技能目标讲解：(4分钟)会使用SNAT策略配置共享上网会使用DNAT策略发布企业内网的应用服务会为Linux防火墙增加应用层过滤功能3)课程结构：(4分钟)5.3技能点讲解[80分钟]1) SNAT策略及应用[20分钟]a) 引入：介绍企业局域网接入Internet的需求，来引出iptables的应用SNAT。b) 讲解要点：SNAT策略的应用环境（通过SNAT实现共享上网）SNAT策略的原理通过SNAT实现MASQUERADE（IP地址伪装），主要强调在整个过程中，数据包在数据流中的变化。重点是MASQUERADE的作用和特点。SNAT策略的应用SNAT典型应用于局域网共享上网的接入，而处理数据包的切入时机，主要选择在路由选择之后(POSTROUTING)进行。SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。SNAT只能用于NAT表的POSTROUTING链。网关使用动态公网IP地址的情况如果是通过ADSL拨号方式连接Internet，则外网接口名称通常为ppp0、ppp1等c) 课堂案例：案例一：SNAT应用iptables-tnat-APOSTROUTING-s/24-oeth0-jSNAT--to-source1案例二：网关使用动态公网IP地址的情况2) DNAT策略及应用[20分钟]a) 引入：介绍在Internet中发布内网应用服务器的需求，引出DNAT的应用。b) 讲解要点：DNAT策略的应用环境在Internet中发布位于企业局域网内的服务器。DNAT策略的原理目标地址转换，DestinationNetworkAddressTranslation；修改数据包的目标IP地址；DNAT策略的应用通过DNAT策略同时修改目标端口号使用形式：只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可，即：-jDNAT--to-destination目标IP:目标端口c) 课堂案例：案例一：DNAT策略应用iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport80-jDNAT--to-destination案例二：通过DNAT策略同时修改目标端口号d) 小结采用提问方式，注意引导学员回答重点即可！SNAT策略的核心用途是什么？SNAT：修改数据包源地址DNAT策略的核心用途是什么？DNAT：修改数据包目标地址、目标端口SNAT、DNAT策略在企业中包括哪些典型应用？SNAT典型应用——实现局域网用户共享单个公网IP地址接入InternetDNAT典型应用——在Internet中发布局域网内的应用服务器（如网站、邮件等）如果企业的网关主机通过ADSL动态地址接入Internet网络，应如何设置共享上网策略？公网IP地址为动态获取时，建议采用MASQUERADE策略代替SNAT策略，这样无需指定固定的转换IP地址3) 使用Layer7应用层过滤功能[30分钟]a) 引入：通过介绍现有iptables防火墙体系的不足，引出使用内核及防火墙扩展补丁的必要性。iptables防火墙是基于内核中的netfilter机制的，因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b) 讲解要点：使用Layer7应用层过滤功能默认netfilter/iptables体系的不足：以基于网络层的数据包过滤机制为主，同时提供少量的传输层、数据链路层的过滤功能难以判断数据包对应于何种应用程序（如QQ、MSN）整体实现过程：添加内核补丁，重新编译内核，并以新内核引导系统添加iptables补丁，重新编译安装iptables安装l7-protocols协议定义包使用iptables命令设置应用层过滤规则重新编译新内核释放内核源码包，并合并补丁配置内核编译参数：makemenuconfig需要配置哪些内核编译参数重新编译新内核：make-->makemodules_install-->makeinstall重新编译安装iptables工具先卸载原有的iptables软件包合并补丁，并编译安装新的iptables工具安装L7-protocols协议定义包解包后直接执行“makeinstall”命令即可设置应用层过滤规则匹配格式：-mlayer7--l7proto协议名协议定义文件位于：/etc/l7-protocols/protocols支持以下常见应用层协议的过滤qq：腾讯公司QQ程序的通讯协议msnmessenger：微软公司MSN程序的通讯协议msn-filetransfer：MSN程序的文件传输协议bittorrent：BT下载类软件使用的通讯协议xunlei：迅雷下载工具使用的通讯协议edonkey：电驴下载工具使用的通讯协议其他各种应用层协议：ftp、http、dns、imap、pop3……规则示例：过滤使用qq协议的转发数据包iptables-AFORWARD-mlayer7--l7protoqq-jDROP5.4总结[6分钟]采用提问方式，注意引导学员回答重点即可！提问：通过SNAT策略实现共享上网应用时，需要将内网访问Internet数据包的源IP地址修改为哪个地址？通过DNAT策略发布内网服务器时，主要针对访问哪个IP地址的数据包修改其目标地址？重新编译Linux内核时，执行“makemenuconfig”步骤后建立的配置文件名称是什么（.config）？六.布置作业：[4分钟]6.1本章作业a) 课后选择题：P77b) 课后简答题：P81题1、2、3、4、5c) 抄写和背诵本章单词列表d) 完成本章实验案例一、案例二6.2作业的提交方式与要求a) 课后选择题：把答案写在课本上b) 课后简答题：作业写在作业本上，下次上课提交c) 抄写和背诵本章单词列表：写在作业本上，至少5遍d) 完成本章实验案例一和案例二：提交实验报告6.3课后习题答案BDCDBDAC习题公司的网关服务器使用了Linux操作系统。网关上有两块网卡：其中eth0连接Internet，使用固定IP地址1/30；eth1连接局域网，使用固定IP地址/24，局域网内各主机的默认网关设置为，且已经设置了正确的DNS服务器，现需要在Linux网关主机中进行正确配置，以使/24网段的局域网用户能够通过共享方式访问Internet。可以使用()iptables-tnat-APOSTROUTING-s/24-oeth0-jSNAT--to-source1iptables-tnat-APOSTROUTING-s/24-oeth0-jDNAT--to-source1iptables-tnat-APREROUTING-s/24-oeth0-jSNAT--to-source1iptables-tnat-APREROUTING-s/24-oeth0-jDNAT--to-source1正确答案：A考点：配置SNAT策略实现局域网共享上网[★★★]公司在ISP注册了域名，并对应于Linux网关的外网接口（eth0）地址：1，公司的网站服务器位于局域网内，IP地址为，Internet用户可以通过访问来查看公司的网站内容。可以()iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport80-jSNAT--to-destinationiptables-tnat-APREROUTING-ieth0-d1-ptcp--dport80-jDNAT--to-destinationiptables-tnat-APOSTROUTING-ieth0-d1-ptcp--dport80-jDNAT--to-destinationipta