第18章 Iptables与代理服务器(上).ppt

12LINUX高级企业服务器管理高级企业服务器管理Linux Advanced Enterprise Server Management3Redhat5的安装与桌面的使用的安装与桌面的使用常用命令与文本编辑器常用命令与文本编辑器viLinux的文件系统的文件系统Linux下硬件管理下硬件管理用户和组的管理用户和组的管理Linux下软件的安装与管理下软件的安装与管理Linux网络基础与网络服务的管理网络基础与网络服务的管理打印服务器打印服务器文件服务器文件服务器NFS与与samba引导服务器引导服务器dhcp和和NIS LINUX高级企业服务器管理高级企业服务器管理课程结构课程结构LINUX高级企业服务器管理Dns服务器服务器4apache服务器服务器Mail服务器服务器ftp服务器服务器Ldap服务器服务器远程管理工具远程管理工具Mysql数据库数据库Iptables与代理服务器与代理服务器Linux系统的自动化任务系统的自动化任务Linux下数据备份与恢复下数据备份与恢复Linux内核编译与内核编译与shell基础基础 LINUX高级企业服务器管理高级企业服务器管理课程结构课程结构LINUX高级企业服务器管理(续)常用命令参考常用命令参考(附录附录)5第第18章章 Iptables与代理服务器与代理服务器(上上)本章学习目标p了解iptables的工作原理p掌握防火墙的常用参数p掌握防火墙的基本配置6防火墙简介防火墙简介什么是防火墙 防火墙就是管理流经网络的资料封包的一种机制它主要通过对网络封包的包头进行分析，来决定封包是否可以流经本机防火墙种类u以设备划分：1):软件防火墙 软件防火墙就是保护计算机的一套软件，装在计算机里面，以提供保护计算机的功能。如用Linux主机架设一个防火墙 2):硬件防火墙 硬件防火墙主要是由厂商设计好的硬件，里面有自己的操作 系统，以提供封包过滤机制，故性能较佳。7防火墙简介防火墙简介u以技术划分1):包过滤型 主要依据是网络中的分包传输技术。包过滤技术的优点是简 单实用，实现成本较低 2):网络地址转换 将封包中的来源或者目的IP进行更改，可以使私有网络连上 互连网 3):代理性防火墙 可以代理客户端将需要的资料进行查找并返回给客户端，安 全性较高，但是性能要求较高 4):监测型防火墙 可以对各个网络层进行主动的数据分析，安全性极高，但性 能要求很高8Linux下的防火墙机制下的防火墙机制Linux下的防火墙软件Linux防火墙直接由内核进行处理，安全性高不同的Linux内核使用的防火墙机制 内核版本 使用的软件 2.0 ipfwadm 2.2 ipchains 2.4 与 2.6 iptables9iptables防火墙框架图防火墙框架图10iptables结构结构表iptables是由几张表所组成，每张表又由几条链组成，每张表负责不同的封包处理机制，每条链负责不同的封包走向，具体采取的策略由链里的规则设定ufilter表:用于过滤封包uNat表 :用于做地址转换 链uINPUT链：存在于filter表，主要用于处理进入本机的封包uOUTPUT链：存在于filter表,主要用于处理离开本机的封包uFORWARD链:存在于fileter表，主要用于处理穿过本机的封包uPREROUTING:存在于nat表，主要用于修改目的地址(DNAT)uPOSTROUTING:存在于nat表，主要用于修改来源地址(SNAT)11iptables的相关文件的相关文件防火墙配置保存文件p/etc/sysconfig/iptables防火墙配置保存命令pservice iptables save防火墙的启动/停止/重启pservice iptables startpservice iptables stotpservice iptables restart12iptables标准语法标准语法iptables-t table 命令 chain rules-j targetptable指定表明p命令对链的操作命令pchain链名prules规则ptarget动作如何进行13iptables命令概述命令概述查看命令 iptables L 列出当前的table的规则 iptables -v 列出通过相关规则的封包的详细的参数操作命令u-A 链名 追加一条规则（默认添加到最后）例如：iptables -A INPUT s 192.168.10.239 j DROP14iptables命令概述命令概述u操作命令u-I 链名 规则号码 插入一条规则 例如：iptables I INPUT 2 -s 192.168.10.239-j DROPu-D 链名 规则号码|具体规则内容 删除一条规则例如：iptables-D INPUT 2 或者：iptables-D INPUT -s 192.168.10.239-j DROP15iptables命令概述命令概述u操作命令u-P 链名动作 设置某条链的默认规则 例如：iptables-P OUTPUT DROPu-F 链名 清空规则例如：iptables-F16iptables命令概述命令概述操作命令u按网络接口匹配-i eth0 匹配数据进入的网络端口 -o eth0 匹配数据流出的网络端口u按来源目的地址匹配-s ip 匹配来源IP -d ip 匹配目的IP 例如：iptables-A INPUT-i eth0 s 192.168.10.239 j DROP17iptables命令概述命令概述操作命令u按协议匹配协议可以是TCP,UDP,ICMP，也可以不加例如：iptables A INPUT-p tcp-s 192.168.10.239 -j ACCEPTu按来源目的端口匹配-sport 来源端口 -dport 目的端口 例如：iptables-A INPUT-p tcp-sport 21 -j DROP18iptables命令概述命令概述操作命令u按协议匹配协议可以是TCP,UDP,ICMP，也可以不加例如：iptables A INPUT-p tcp-s 192.168.10.239-j ACCEPTu按来源目的端口匹配-sport 来源端口 -dport 目的端口 例如：iptables-A INPUT-p tcp-sport 22 -j DROP19iptables命令概述命令概述操作命令p动作处理 -j ACCEPT 允许封包通过而不拦截 -j DROP 不允许封包通过20防火墙基本配置防火墙基本配置查看防火墙的默认规则21防火墙基本配置防火墙基本配置更改防火墙内置链的默认策略并查看22防火墙基本配置防火墙基本配置允许指定的远程主机测试23总结总结linux下的防火墙的工作在OSI模型的第几层iptables的哪个表是防火墙iptables的基本操作命令24上机实验上机实验防火墙的基本操作p熟悉常用参数的使用p查看系统默认的防火墙规则p改变内置链的默认策略p允许指定的主机p拒绝指定的主机25作业作业防火墙相关文件的查看防火墙相关命令的使用防火墙的基本操作p熟悉常用参数的使用p查看系统默认的防火墙规则p改变内置链的默认策略p允许指定的主机p拒绝指定的主机26课堂提问时间课堂提问时间