網(wǎng)絡(luò)操作系統(tǒng)配置與管理實(shí)訓(xùn)教程第4章

1、任務(wù)單1WSUS服務(wù)器的安裝2配置WSUS服務(wù)器3.利用組策略實(shí)現(xiàn)域WSUS更新4.3 Linux環(huán)境下的IPtablesn 南方某電子信息集團(tuán)有限公司現(xiàn)有網(wǎng)絡(luò)應(yīng)用系統(tǒng)平臺(tái)已基本搭建完成，恰當(dāng)?shù)姆阑饓浖肀ＷC系統(tǒng)的安全是必不可少的一部分，在Linux平臺(tái)下自帶的包過濾防火墻可為應(yīng)用系統(tǒng)的平穩(wěn)運(yùn)行提供保障，如何進(jìn)行管理與配置是需要解決的一個(gè)問題。n IPTABLES集成到linux內(nèi)核中，用戶通過IPTABLES，可以對(duì)計(jì)算機(jī)的進(jìn)出數(shù)據(jù)包進(jìn)行過濾。通過IPTABLES命令設(shè)置規(guī)則，來把守計(jì)算機(jī)網(wǎng)絡(luò)哪些數(shù)據(jù)允許通過，哪些不能通過，哪些通過的數(shù)據(jù)進(jìn)行記錄（log）。主要包括配iptables鏈的基

2、本操作、配置基本的規(guī)則匹配、配置擴(kuò)展的規(guī)則匹配等。序號(hào) 任務(wù)1主DNS服務(wù)器配置2反向DNS服務(wù)器的配置3輔助DNS服務(wù)器的配置4多域DNS服務(wù)器的配置5子域DNS服務(wù)器的配置 任務(wù)一：iptables鏈的基本操作n1.清除規(guī)則n（1）清除預(yù)設(shè)表filter中任何規(guī)則鏈中的規(guī)則。 n# iptables -F n（2）清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則。n#iptables -X n#iptables Zn2.配置鏈的默認(rèn)策略n（1）首先允許任何包通過，然后再禁止有危險(xiǎn)的包通過防火墻。n#iptables -P INPUT ACCEPTn#iptables -P OUTPUT ACC

3、EPTn#iptables -P FORWARD ACCEPT n（2）首先禁止任何包通過，然后根據(jù)需要的服務(wù)允許特定的包通過防火墻。n#iptables -P INPUT DROP n#iptables -P OUTPUT DROP n#iptables -P FORWARD DROPn3.列出表/鏈中的任何規(guī)則，默認(rèn)只列出filter表。n#iptables Ln4.向鏈中添加規(guī)則，下面的語句用于開放網(wǎng)絡(luò)接口：n#iptables -A INPUT -i lo -j ACCEPTn#iptables -A OUTPUT -o lo -j ACCEPTn#iptables -A INPUT

4、-i eth0 -j ACEPTn#iptables -A OUTPUT -o eth1 -j ACCEPTn#iptables -A FORWARD -i eth1 -j ACCEPTn#iptables -A FORWARD -o eth1 -j ACCEPTn5.使用者自定義鏈n#iptables -N customn#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROPn#iptables -A INPUT -s 0/0 -d 0/0 -j DROP任務(wù)二：配置基本的規(guī)則匹配n1.指定協(xié)議匹配n（1）匹配指定協(xié)議n#iptables -A I

5、NPUT -p tcpn（2）匹配指定協(xié)議之外的任何協(xié)議n#iptables -A INPUT -p !tcpn2.指定地址匹配n（1）指定匹配的主機(jī)n#iptables -A INPUT -s 8 n（2）指定匹配的網(wǎng)絡(luò)n#iptables -A INPUT -s /24n（3）匹配指定主機(jī)之外的地址n#iptables -A FORWARD -s !9 n（4）匹配指定網(wǎng)絡(luò)之外的網(wǎng)絡(luò)n#iptables -A FORWARD -s ! /24 n3.指定網(wǎng)絡(luò)接口匹配n（1）指定單一的網(wǎng)絡(luò)接口匹配n#ip

6、tables -A INPUT -i eth0n#iptables -A FORWARD -o eth0n（2）指定同類型的網(wǎng)絡(luò)接口匹配n#iptables -A FORWARD -o ppp n4.指定端口匹配n（1）指定單一端口匹配n#iptables -A INPUT -p tcp -sport www n#iptables -A INPUT -p udp dport 53 n（2）匹配指定端口之外的端口n#iptables -A INPUT -p tcp dport !22 n（3）匹配端口范圍n#iptables -A INPUT -p tcp sport 22:80n（4）匹配IC

7、MP端口和ICMP類型n#iptables -A INOUT -p icmp icimp-type 8任務(wù)三：配置擴(kuò)展的規(guī)則匹配n1.多端口匹配n（1）匹配多個(gè)源端口n#iptables -A INPUT -p tcp -m multiport sport 22,53,80,110n（2）匹配多個(gè)目的端口n#iptables -A INPUT -p tcp -m multiport dpoort 22,53,80n（3）匹配多端口n#iptables -A INPUT -p tcp -m multiport port 22,53,80,110 n2.指定TCP匹配擴(kuò)展n使用tcp-flags

8、選項(xiàng)能夠根據(jù)tcp包的標(biāo)志位進(jìn)行過濾n#iptables -A INPUT -p tcp tcp-flags SYN,FIN,ACK SYN n#iptables -A FROWARD -p tcp tcp-flags ALL SYN,ACK n上實(shí)例中第一個(gè)表示SYN、ACK、FIN的標(biāo)志都檢查，但是只有SYN匹配。第二個(gè)表示ALL（SYN，ACK，F(xiàn)IN，RST，URG，PSH）的標(biāo)志都檢查，但是只有配置了SYN和ACK的匹配。n#iptables -A FORWARD -p tcp -syn n選項(xiàng)-syn相當(dāng)于“-tcp-flags SYN,RST,ACK SYN”的簡(jiǎn)寫。n3.lim

9、it速率匹配擴(kuò)展n（1）指定單位時(shí)間內(nèi)允許通過的數(shù)據(jù)包個(gè)數(shù)，單位時(shí)間能夠是/second、/minute、/hour、/day或使用第一個(gè)字母。n#iptables -A INPUT -m limit -limit 300/hourn（2）指定觸發(fā)事件的閥值。 n#iptables -A INPUT -m limit limit-burst 10n（3）同時(shí)指定速率限制和觸發(fā)閥值n#iptables -A INPUT -p icmp -m limit -limit 3/m limit-burst 3n表示每分鐘允許的最大包數(shù)量為限制速率（本例為3）加上當(dāng)前的觸發(fā)閥值burst數(shù)。任何情況下，都

10、可確保3個(gè)數(shù)據(jù)包通過，觸發(fā)閥值burst相當(dāng)于允許額外的包數(shù)量。n4.基于狀態(tài)的匹配擴(kuò)展n每個(gè)網(wǎng)絡(luò)連接包括以下信息：源地址、目標(biāo)地址、源端口、目的端口，稱為套接字對(duì)（socket pairs）；協(xié)議類型、連接狀態(tài)（TCP協(xié)議）和超時(shí)時(shí)間等。防火墻把這些信息稱為狀態(tài)（stateful）。狀態(tài)包過濾防火墻能在內(nèi)存中維護(hù)一個(gè)跟蹤狀態(tài)的表，比簡(jiǎn)單包過濾防火墻具備更大的安全性，命令格式如下：niptables -m state -state !state ,state,state,staten其中，state是個(gè)逗號(hào)分割的列表，用來指定連接狀態(tài)，4種：nNEW：該包想要開始一個(gè)新的連接。nRELATED：該包是屬于已連接的新建連接。nESTABLISHED：該包屬于某個(gè)已建立的連接。nINVALID：該包不匹配于任何連接，通常這些包被DROP。n（1）在INPUT鏈添加一條規(guī)則，匹配已建立的連接或由已建立的