學習情境5項目1管理與維護Iptables防火墻.ppt

1、Linux網(wǎng)絡服務器配置管理項目實訓教程,楊云 等編著 中國水利水電出版社,1. 項目課題引入,2. 防火墻的工作原理,3. 防火墻的配置與管理,4. NAT的配置,5. 現(xiàn)場演示案例,課題引入項目背景,假設某單位租用DDN專線上網(wǎng)。網(wǎng)絡拓撲如下圖所示。iptables防火墻的eth0接口連接外網(wǎng)，IP地址為00；eth1接口連接內(nèi)網(wǎng)，IP地址為。假設在內(nèi)網(wǎng)中存在WEB、DNS和E-mail3臺服務器，這3臺服務器都有公有IP地址。其IP地址如圖所示。設置防火墻規(guī)則加強對內(nèi)網(wǎng)服務器的保護，并允許外網(wǎng)的用戶可以訪問此3臺服務器。,課題引入項目分析,

2、完成本項目需要解決的問題： 1、什么是防火墻,其工作原理是什么 2、如何使用Iptables進行防火墻設置 3、如何配置包過濾防火墻 4、如何實現(xiàn)NAT,課題引入教學目標,學習本課需要實現(xiàn)的教學目標： 掌握防火墻的概念和工作原理 掌握Iptables的結(jié)構(gòu)和配置方法 掌握包過濾防火墻的配置方法 掌握NAT的配置方法,課題引入應達到的職業(yè)能力,學生學習本課后應該具有的職業(yè)能力： 掌握為企業(yè)設計防火墻的能力 掌握Linux下Iptables的配置方法 掌握包過濾防火墻的配置能力 掌握NAT的配置能力 具有較好的團隊合作能力,項目問題一 防火墻的工作原理,防火墻是一種非常重要的網(wǎng)絡安全工具，利用防火

3、墻可以保護企業(yè)內(nèi)部網(wǎng)絡免受外網(wǎng)的威脅，作為網(wǎng)絡管理員，掌握防火墻的安裝與配置非常重要。 防火墻分成2種: 代理服務器型防火墻 包過濾型防火墻,包過濾型防火墻,包過濾型防火墻內(nèi)置于Linux系統(tǒng)的內(nèi)核，在網(wǎng)絡層或傳輸層對經(jīng)過的數(shù)據(jù)包進行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設置的過濾規(guī)則（ACL）。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的協(xié)議、端口號等因素，來決定是否允許該數(shù)據(jù)包通過。如圖所示是包過濾型防火墻常用的一種模式，主要用來阻隔來自外網(wǎng)對內(nèi)部網(wǎng)絡的威脅。,包過濾型防火墻有兩種基本的默認訪問控制策略： 一種是先禁止所有的數(shù)據(jù)包通過，然后再根據(jù)需要允許滿足匹配規(guī)則的數(shù)據(jù)包通過。 一種是先允許所

4、有的數(shù)據(jù)包通過，再根據(jù)需要拒絕滿足匹配規(guī)則的數(shù)據(jù)包通過。,代理服務器型防火墻,代理服務器型防火墻是應用網(wǎng)關型防火墻，通常工作在應用層。代理服務器實際上是運行在防火墻上的一種服務器程序。服務器監(jiān)聽客戶機的請求，如申請瀏覽網(wǎng)頁等。當內(nèi)網(wǎng)的客戶機請求與外網(wǎng)的真實服務器連接時，客戶端首先連接代理服務器，然后再由代理服務器與外網(wǎng)真實的服務器建立連接，取得客戶想要的信息，代理服務器再把信息返回給客戶。,包過濾型防火墻工作原理,包過濾型防火墻的工作過程： （1）數(shù)據(jù)包從外網(wǎng)傳送給防火墻后，防火墻在IP層向TCP層傳輸數(shù)據(jù)前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進行處理。 （2）首先與第一條過濾規(guī)則進行比較。 （3）如果

5、與第一條規(guī)則匹配，則進行審核，判斷是否允許傳輸該數(shù)據(jù)包，如果允許則傳輸，否則查看該規(guī)則是否阻止該數(shù)據(jù)包通過，如果阻止則將該數(shù)據(jù)包丟棄。 （4）如果與第一條過濾規(guī)則不同，則查看是否還有下一條規(guī)則。如果有，則與下一條規(guī)則匹配，如果匹配成功，則進行與（3）相同的審核過程。 （5）依此類推，一條一條規(guī)則匹配，直到最后一條過濾規(guī)則。如果該數(shù)據(jù)包與所有的過濾規(guī)則均不匹配，則采用防火墻的默認訪問控制策略策略（丟掉該數(shù)據(jù)包，或允許該數(shù)據(jù)包通過）。,包過濾型防火墻工作原理,包過濾型防火墻原理圖,包過濾規(guī)則檢查內(nèi)容： 源、目標IP地址 TCP和UDP的源、目的端口號 協(xié)議類型 ICMP消息類型 TCP報頭中的AC

6、K位、序列號、確認號 IP校驗和,項目問題二 Netfilter/iptables架構(gòu),從1.1內(nèi)核開始，Linux下的包過濾系統(tǒng)經(jīng)歷了3個階段： 在2.0內(nèi)核中，采用ipfwadm來操作內(nèi)核包過濾規(guī)則。 在2.2內(nèi)核中，采用ipchains來控制內(nèi)核包過濾規(guī)則。 在2.4內(nèi)核中，采用了一個全新的內(nèi)核包過濾管理工具iptables。 Netfilter/iptables最早是與2.4內(nèi)核版本的Linux系統(tǒng)集成的IP信息包過濾系統(tǒng)。它由Netfilter和iptables兩個組件組成。,Netfilter/iptables架構(gòu),Netfilter組件稱為內(nèi)核空間，它集成在Linux的內(nèi)核中。主

7、要由信息包過濾表（tables）組成，而表由若干個鏈組成，每條鏈中可以由一條或者多條規(guī)則組成?？偟膩碚f，Netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。,Netfilter/iptables架構(gòu),（1）規(guī)則。規(guī)則存儲在內(nèi)核的包過濾表中，分別指定了源、目的IP地址、傳輸協(xié)議、服務類型等。當數(shù)據(jù)包與規(guī)則匹配時，就根據(jù)規(guī)則所定義的方法來處理數(shù)據(jù)包，如放行、丟棄等動作。 （2）鏈。鏈是數(shù)據(jù)包傳播的路徑，每一條鏈其實就是眾多規(guī)則中的一個檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當數(shù)據(jù)包到達一條鏈時，會從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件，如果滿足，系統(tǒng)就會根據(jù)該條

8、規(guī)則所定義的方法處理該數(shù)據(jù)包；否則將繼續(xù)檢查下一條規(guī)則。如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，會根據(jù)該鏈預先定義的默認策略處理數(shù)據(jù)包。,Netfilter/iptables架構(gòu),（3）表。Netfilter中內(nèi)置有3張表：filter表，nat表和mangle表。其中filter表用于實現(xiàn)數(shù)據(jù)包的過濾、nat表用于網(wǎng)絡地址轉(zhuǎn)換、mangle表用于包的重構(gòu)。 filter表是iptables默認的表， 主要用于數(shù)據(jù)包的過濾。filter表包含了INPUT鏈（處理進入的數(shù)據(jù)包）、FORWARD鏈（處理轉(zhuǎn)發(fā)的數(shù)據(jù)包）和OUTPUT鏈（處理本地生成的數(shù)據(jù)包）。 nat表主要用于網(wǎng)絡地址轉(zhuǎn)換。nat表包含了

9、PREROUTIN鏈（修改即將到來的數(shù)據(jù)包）、OUTPUT鏈（修改在路由之前本地生成的數(shù)據(jù)包）和POSTROUTING鏈（修改即將出去的數(shù)據(jù)包）。 mangle表主要用于對指定的包進行修改。在Linux 2.4.18內(nèi)核之前，mangle表僅包含PREROUTING鏈和OUTPUT鏈。在Linux2.4.18內(nèi)核之后，包括PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五個鏈。,iptables傳輸數(shù)據(jù)包過程,iptables傳輸數(shù)據(jù)包的過程如下圖所示。,iptables傳輸數(shù)據(jù)包過程,打開Linux的路由轉(zhuǎn)發(fā)功能： （1） 修改內(nèi)核變量ip_forwar

10、d （2）修改/etc/sysctl.conf文件使“net.ipv4.ip_forward”的值設置為1 。,iptables命令,iptables命令格式為： iptables -t 表名 -命令 鏈名 匹配條件 目標動作 Iptables表的常用命令：,iptables命令,Iptables命令中的常用匹配規(guī)則：,iptables命令,Iptables命令中的常用目標動作選項：,iptables命令,制定永久性規(guī)則集： 保存規(guī)則集： 恢復規(guī)則集：,項目問題三 使用iptables配置包過濾防火墻,【例15-1】清除所有鏈中的規(guī)則 。,iptables命令舉例,【例15-2】設置filte

11、r表中3個鏈的默認策略為拒絕 。,【例15-3】查看所有鏈的規(guī)則列表 。,iptables命令舉例,【例15-4】添加一個用戶自定義的鏈custom 。,iptables命令舉例,【例15-5】向filter表的INPUT鏈的最后添加一條規(guī)則，對來自這臺主機的數(shù)據(jù)包丟棄 。,iptables命令舉例,【例15-6】向filter表中的INPUT鏈的第3條規(guī)則前面插入一條規(guī)則，允許來自于非/24網(wǎng)段的主機對本機的25端口的訪問 。,iptables命令舉例,【例15-7】向filter表的INPUT鏈中添加一條規(guī)則，拒絕外界主機訪問本機tcp協(xié)議的10

12、0至1024端口。,iptables命令舉例,【例15-8】向filter表的INPUT鏈中添加一條規(guī)則，拒絕來自其他主機的ping請求 。,項目問題三 NAT的基本知識,NAT的主要功能： （1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。 （2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。 （3）支持多重服務器和負載均衡。 （4）實現(xiàn)透明代理 。,NAT的基本知識,NAT的工作過程： （1）客戶機將數(shù)據(jù)包發(fā)給運行NAT的計算機。 （2） NAT將數(shù)據(jù)包中的端口號和專用的IP地址換成它自己的端口號和公用的IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡的

13、目的主機，同時記錄一個跟蹤信息在映像表中，以便向客戶機發(fā)送回答信息。 （3）外部網(wǎng)絡發(fā)送回答信息給NAT。 （4）NAT將所收到的數(shù)據(jù)包的端口號和公用IP地址轉(zhuǎn)換為客戶機的端口號和內(nèi)部網(wǎng)絡使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機。,NAT的基本知識,NAT的工作過程示意圖：,NAT的基本知識,NAT的分類： （1）源NAT（Source NAT，SNAT）。SNAT指修改第一個包的源IP地址。SNAT會在包送出之前的最后一刻做好Post-Routing的動作。Linux中的IP偽裝（MASQUERADE）就是SNAT的一種特殊形式。 （2）目的NAT（Destination NAT，DNAT）。DNA

14、T是指修改第一個包的目的IP地址。DNAT總是在包進入后立刻進行Pre-Routing動作。端口轉(zhuǎn)發(fā)、負載均衡和透明代理均屬于DNAT。,使用Iptables實現(xiàn)NAT,用戶根據(jù)規(guī)則所處理的信息包類型，使用iptables命令設置NAT規(guī)則： 要做源IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到POSTROUTING鏈中。 要做目的IP地址轉(zhuǎn)換的數(shù)據(jù)包的規(guī)則被添加到PREROUTING鏈中。 直接從本地出去的數(shù)據(jù)包的規(guī)則被添加到OUTPUT鏈中。,使用Iptables實現(xiàn)NAT,數(shù)據(jù)包穿越NAT的工作流程示意圖：,使用Iptables實現(xiàn)NAT,【例15-10】假設某企業(yè)網(wǎng)中NAT服務器安裝了雙網(wǎng)卡，et

15、h0連接外網(wǎng)，eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡的客戶機都只有私有IP地址。利用NAT服務使企業(yè)內(nèi)部網(wǎng)絡的計算機能夠連接Internet網(wǎng)絡。,【例15-10】的解決方案1,假設eth0的IP地址是靜態(tài)分配的。公網(wǎng)IP地址池為00-50 。此時應作SNAT，iptables命令的-j參數(shù)的語法格式為： -j SNAT -to-source/-to IP1-IP2:port1 -port2 配置步驟： 打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip

16、_forward 實現(xiàn)SNAT。 rootRHEL4 # iptables t nat A POSTROUTING p tcp o eth0 j SNAT -to 00-50:1025:30000,【例15-10】的解決方案2,假設連接外網(wǎng)的接口是利用ADSL撥號連接的ppp0。 此時應作IP偽裝，iptables命令的-j參數(shù)的語法格式為： -j MASQUERADE 配置步驟： 打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。 rootRHEL4 # echo “1”/proc/sys/net/ipv4/ip_forward 實現(xiàn)IP偽裝。 rootRHE

17、L4 # iptables t nat A POSTROUTING o ppp0 -j MASQUERADE,使用Iptables實現(xiàn)NAT,【例15-11】假設某企業(yè)網(wǎng)中NAT服務器安裝了雙網(wǎng)卡，eth0連接外網(wǎng)，IP地址為00。eth1連接內(nèi)網(wǎng)，IP地址為。企業(yè)內(nèi)部網(wǎng)絡WEB服務器的IP地址為。要求當Internet網(wǎng)絡中的用戶在瀏覽器中輸入http:/ 00時可以訪問到內(nèi)網(wǎng)的WEB服務器。,【例15-11】的解決方案,根據(jù)題目要求可知，此時應作DNAT。iptables命令的-j參數(shù)的語法格式

18、為： -j DNAT -to-destination/-to IP1-IP2:port1 -port2 實現(xiàn)DNAT的配置語句： # iptables t nat A PREROUTING p tcp d 00 -dport 80 j DNAT -to :80 或者： # iptables t nat A PREROUTING p tcp i eth0 -dport 80 j DNAT -to :80,總結(jié),本項目的解決方案: /1. 清空所有的鏈規(guī)則 rootRHEL4 # iptables -F /2. 禁止iptables防火墻轉(zhuǎn)發(fā)任何數(shù)據(jù)包 rootRHEL4 # iptables -P FORWARD DROP /3. 建立來自Internet網(wǎng)絡的數(shù)據(jù)包的過濾規(guī)則 # iptables -A FORWARD p tcp d p tcp -dport 80 -i eth0 -j ACCEPT # iptables -A FORWARD p