【教学课件】第18章Linux防火墙及应用.ppt

冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1第第18章章 Linux防火墙及应用防火墙及应用18.1 Linux防火墙防火墙18.2 Linux作为作为ADSL拨号网关拨号网关18.3 在在Linux中配置中配置PPTP服务器服务器冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材218.1 Linux防火墙防火墙18.1.1 iptables的介绍的介绍在Linux中主要的防火墙配置工具是iptables。不同的iptables命令可以连接起来。每个命令可以阻止或者运行特定的数据链接。它基本上是用于建立、维护内核种IP包过滤的表。在iptables的命令中，可以分别定义数据包的进、出和通过。也就是说，利用iptables可以控制数据包的进入、离开和通过，这样，如果Linux主机连接有多个网络的话也可以控制数据包从这个网络到另外一个网络。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材318.1.2 iptables防火墙链防火墙链在iptables中若干表被定义，每个表包含了若干链，用户可以自定义的链。每条链是一组用于匹配数据报的规则。每个规则规定了被匹配的数据报怎么处理，这叫作目标。当一个数据报进入了一条链时，由链中的第一条规则对包进行匹配。当和一条规则匹配时，执行规则所规定的。如果不被匹配，继续下一条规则，直到链的末尾。由最后一条链指定包的命运，默认为accept。一般用户自己在最后一条规则指定为deny all，如图18-1所示。目前，有四个链分别为INPUT、PORWORD、OUTPUT和RH-Lokkit-0-50-INPUT，最后一个是链是redhat的默认配置。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材4图18-1冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材518.1.3 iptables格式格式iptables命令的内容非常丰富，在本书中只是找几个重要的选项来说明。iptables的格式如下：#iptables t tables option pattern j target-t 是选择表，在Linux中，有两个表filter和nat。filter表示可以阻止或者允许特定类型的的网络通讯流。Nat则表示支持和伪装相关的地址转换。默认是选择filter，所有经常添加防火墙规则的时候不需要指定表。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材618.1.4 iptables选项选项下面列出iptbales的一些基本选项：-A 在链尾添加一条规则。-I 插入规则。-D 删除规则。-R 替代一条规则。-L 列出规则。-F 清空一张表。-Z 计数器致零。-N 新建一条链。-X 删除一条链。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材718.1.5 防火墙的模式防火墙的模式在防火墙模式中，有一些基本参数如下：-p 指定协议(tcp/icmp/udp/.)。-s 源地址(ip address/masklen)。-d 目的地址(ip address/masklen)。-i 数据报输入接口(interface)。-o 数据报输出接口。-m 检查匹配数据，可以是tcp与udp之类协议，也可以是是极限之类的条件。-p tcp/udp/icmp 指定用什么协议封装的包。-dport(-destination-port)目的端口必须和-p tcp/udp同时使用。-sport(-source-port)源地址端口必须和-p tcp/udp同时使用。-icmp-type 必须和-p icmp参数一起使用。-tcp-flags 检查tcp标志位。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材818.1.6 防火墙的动作防火墙的动作防火墙的动作可以有如下几条：ACCEPT：接收该数据报。DROP：丢弃该数据报。REJECT：丢弃数据报，并返回信息。REDIRECT：对数据报进行重定向。QUEUE：排队该数据报到用户空间。RETURN：返回到前面调用的链。LOG：在/var/log/message中登记匹配记录。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材918.1.7 地址转换地址转换在表nat中包含三个内建PREROUTING、POSTROUTING和OUPUT。下面归纳一些nat的一些参数：NAT(Netword Address Translation)还有几个扩展的target。SNAT(Source Nat)对数据报进行源地址转换。DNAT(Destination NAT)对数据报进行目的地址转换。MASQUERADE 对数据报进行伪装。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1018.1.8 一个完整的例子一个完整的例子1.环境环境2.准备工作准备工作3.启动启动iptables4.编辑编辑iptables脚本脚本5.透明代理配置透明代理配置6.补充补充冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1118.2 Linux作为作为ADSL拨号网关拨号网关18.2.1 Linux作为作为ADSL拨号网关要解决拨号网关要解决的问题的问题Linux作为ADSL拨号网关要解决两个问题。一是让Linux能拨号；二是能让内部地址转换成为Internet地址，解决内部地址上网的问题。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1218.2.2 网络结构网络结构冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1318.2.3 配置配置ADSL拨号拨号1.配置网卡配置网卡这里设计服务器的eth0为外网卡、eth1为内网卡。具体配置如下：#cd/etc/sysconfig/network-scripts编辑网卡配置文件eth0和eth1。2.配置配置adsl拨号参数拨号参数首先用root用户登陆，运行adsl-setup。当adsl参数配置完成后，可以用adsl-start来进行拨号。当看到“ppp0”出现的时候，说明单机拨pppoe已经成功，下面可以进行地址转换设置了。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1418.2.4 地址转换设置地址转换设置地址转换需要iptable的支持，为了管理的方便和实用性，最好把这个脚本编辑成一个文件。这里把这个文件命名为firewall，放在/etc/init.d目录下面。编辑firewall文件，加入内容。编辑完这个文件之后将这个文件改为可执行文件。#chmod+x firewall然后，在/etc/rc.local中加入如下一行：/etc/init.d/firewall让计算机一启动就装入这条规则。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1518.2.5 检查状态检查状态当设置完上面的选择之后重新启动你的电脑，然后检查网关的几个内容。（1）是否正常拨号ifconfig。（2）路由是否正常netstat r。（3）地址转换是否正常iptables-t nat-L n。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1618.3 在在Linux中配置中配置PPTP服务器服务器PPTP服务器，主要应用于一些远程办公网。利用PPTP可以在两台在互联网上相连两个设备建立一个隧道，也可以利用这个隧道使互联网上面的一台机器通过PPTP Server取得在另外一个网，如内部网络中的相应权限，如图18-3所示。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材17图18-3冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1818.3.1 需要软件需要软件：Linux的内核。：Linux的MPPE的内核补丁。：ppp的MPPE内核补丁。：pppd。：poptop，是pptp server。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1918.3.2 编译内核编译内核18.3.3 安装安装PPPD将下载到/usr/src目录中。#cd/usr/src/#tar zvxf将复制到目录下面。#cd#zcat ppp-2.4.1-openssl-0.9.6-mppe.patch.gz|patch-p1#./configure#make#make install.冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2018.3.4 安装安装PPTPD把下载到/usr/src目录中。#cd/usr/src#tar zvxf#cd#./configure#make#make install冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2118.3.5 配置配置PPTPDPPTPD有几个文件需要配置，分别为/etc/modules.conf，/etc/pptpd.conf，/etc/ppp/options.pptpd和/etc/ppp/chap-secrets。建立/etc/ppp/chap-secrets文件。文件格式：#test*test1234*18.3.6 Windows XP客户端设置客户端设置冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材22小结小结本章主要讲述了Linux防火墙的基本配置，还叙述了如何利用Linux做ADSL拨号网关和PPTP 服务器。这对普通的小企业很有用，而且为进一步把Linux应用到网络服务中打下坚实的基础。