linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟4452.docx

《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟4452.docx》由会员分享，可在线阅读，更多相关《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟4452.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、linnux网网关及安安全应用用理论论课教案案第3章（配配置ipptabbless防火墙墙二)linnux网网关及安安全应用用理论论课教案案1一.课程程回顾11二.本章章工作任任务(问题列列表)1三.本章章技能目目标2四.本章章重点难难点24.1课课程重点点24.2课课程难点点2五.整章章授课思思路 1000分钟25.1本本章授课课思路：25.2预预习检查查、任务务、目标标部分 100分钟25.3 技能点点讲解80分分钟35.4 总结 6分分钟 采用提提问方式式，注意意引导学学员回答答重点即即可！77六. 布布置作业业：44 分钟钟86.1本本章作业业86.2 作业的的提交方方式与要要求86.

2、3 课后习习题答案案8七习题题8课时：22学时授课人：焦可伟伟一. 课程回顾顾1. iptaablees与nnetffiltter的的作用及及区别是是什么？2. iptaablees命令令的语法法格式包包括哪些些组成部部分？3. 若设置iiptaablees规则则时未指指定表名名，默认认使用哪哪个表？4. 设置显式式匹配条条件时，需需要注意意什么？5. 防火墙对对数据包包的常见见处理方方式包括括哪些？二.本章章工作任任务(问问题列表表)1. 公司使用用Linnux系系统作为为网关服服务器，应应如何设设置才能能使局域域网用户户接入IInteerneet？2. 公司申请请的唯一一公网IIP地址址已

3、被LLinuux网关关服务器器使用，而而网站服服务器在在局域网网内的另另一台机机器，在在网关上上应如何何配置才才能让IInteerneet上的的客户端端访问该该网站服服务器？3. 在网关服服务器上上应做哪哪些设置置，以便便在家里里也能通通过Innterrnett远程管管理公司司内部的的服务器器？4. 在Linnux网网关服务务器上，如如何限制制内网用用户使用用QQ、MMSN以以及BTT下载等等？三.本章章技能目目标q 会使用SSNATT策略配配置共享享上网q 会使用DDNATT策略发发布企业业内网的的应用服服务q 会为Liinuxx防火墙墙增加应应用层过过滤功能能四.本章章重点难难点4.1课课

4、程重点点q SNATT策略及及其应用用q DNATT策略及及其应用用q 使用Laayerr7应用用层过滤滤4.2课课程难点点q SNATT的原理理q DNATT的原理理q 重新编译译Linnux内内核(强调：这个知知识点即即是重点点也是难难点，需需要在课课上强调调)五.整章章授课思思路 1000分钟5.1本本章授课课思路：本章主主要以案案例的形形式讲述述ipttablles防防火墙的的几种典典型企业业应用：(1)、局域域网共享享上网；(2)、Innterrnett中发布布内网服服务器；(3)、使用用Layyer77应用层层过滤策策略封锁锁QQ、MMSN、BBT等应应用。先讲解解原理，再再演示案

5、案例。章节内内容共分分三个小小节。5.2预预习检查查、任务务、目标标部分 100分钟1)预习习检查：(2分分钟)n Iptaablees的典典型应用用有哪些些？n 什么是SSNATTn 什么是DDNATTn Linuux内核核编译的的概念2）技能能目标讲讲解：(4分钟)(一) 会使用SSNATT策略配配置共享享上网(二) 会使用DDNATT策略发发布企业业内网的的应用服服务(三) 会为Liinuxx防火墙墙增加应应用层过过滤功能能3) 课课程结构构：(44分钟)5.3 技能点点讲解80分分钟1)SSNATT策略及及应用20分钟钟a)引引入：介介绍企业业局域网网接入IInteerneet的需需求

6、，来来引出iiptaablees的应应用SNNAT。b)讲讲解要点点：SNATT策略的的应用环环境（通通过SNNAT实实现共享享上网）SNATT策略的的原理通过SNNAT实实现MAASQUUERAADE（IIP地址址伪装），主主要强调调在整个个过程中中，数据据包在数数据流中中的变化化。重点是MMASQQUERRADEE的作用用和特点点。SNATT策略的的应用SNATT典型应应用于局局域网共共享上网网的接入入，而处处理数据据包的切切入时机机，主要要选择在在路由选选择之后后(POOSTRROUTTINGG)进行行。SNATT的关键键在于将将局域网网外发数数据包的的源IPP地址(私有地地址)修修改为

7、网网关的外外网接口口IP地地址(公公网地址址)。SNATT只能用用于NAAT表的的POSSTROOUTIING链链。网关使用用动态公公网IPP地址的的情况如果是通通过ADDSL拨拨号方式式连接IInteerneet，则则外网接接口名称称通常为为 pppp0、pppp11等c)课课堂案例例：案例一：SNAAT应用用iptaablees -t nnat -A POSSTROOUTIING -s 1922.1668.11.0/24 -oo etth0 -j SNAAT -too-soourcce 2218.29.30.31案例二：网关使使用动态态公网IIP地址址的情况况2)DDNATT策略及及应用2

8、0分钟钟a)引引入：介介绍在IInteerneet中发发布内网网应用服服务器的的需求，引引出DNNAT的的应用。b)讲讲解要点点：DNATT策略的的应用环环境在Intternnet中中发布位位于企业业局域网网内的服服务器。DNATT策略的的原理目标地址址转换，DDesttinaatioon NNetwworkk Adddreess Traansllatiion；修改数据据包的目目标IPP地址；DNATT策略的的应用通过DNNAT策策略同时时修改目目标端口口号使用形式式：只需要在在“-tto-ddesttinaatioon”后的目目标IPP地址后后面增加加“:端口口号”即可，即即： -j DNA

9、AT -too-deestiinattionn 目标标IP:目标端端口c)课课堂案例例：案例一：DNAAT策略略应用iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j DDNATT -to-desstinnatiion 1922.1668.11.6案例二：通过DDNATT策略同同时修改改目标端端口号d)小小结 采用提提问方式式，注意意引导学学员回答答重点即即可！1. SNATT策略的的核心用用途是什什么？SNATT：修改改数据包包源地址址2. DNATT策略的的核心

10、用用途是什什么？DNATT：修改改数据包包目标地地址、目目标端口口3. SNATT、DNNAT策策略在企企业中包包括哪些些典型应应用？SNATT典型应应用 实实现局域域网用户户共享单单个公网网IP地地址接入入IntternnetDNATT典型应应用 在在Intternnet中中发布局局域网内内的应用用服务器器（如网网站、邮邮件等）4. 如果企业业的网关关主机通通过ADDSL动动态地址址接入IInteerneet网络络，应如如何设置置共享上上网策略略？公网IPP地址为为动态获获取时，建建议采用用MASSQUEERADDE策略略代替SSNATT策略，这这样无需需指定固固定的转转换IPP地址3) 使

11、用LLayeer7应应用层过过滤功能能 30分钟钟a)引引入：通通过介绍绍现有iiptaablees防火火墙体系系的不足足，引出出使用内内核及防防火墙扩扩展补丁丁的必要要性。iptaablees防火火墙是基基于内核核中的nnetffiltter机机制的，因因此增加加应用层层过滤功功能通常常需要对对内核、iiptaablees同时时打补丁丁。b)讲讲解要点点：使用Laayerr7应用用层过滤滤功能默认 nnetffiltter/ipttablles 体系的的不足：q 以基于网网络层的的数据包包过滤机机制为主主，同时时提供少少量的传传输层、数数据链路路层的过过滤功能能q 难以判断断数据包包对应于于

12、何种应应用程序序（如QQQ、MMSN）整体实现现过程：1. 添加内核核补丁，重重新编译译内核，并并以新内内核引导导系统2. 添加ipptabbless补丁，重重新编译译安装iiptaablees3. 安装l77-prrotoocolls协议议定义包包4. 使用ipptabbless命令设设置应用用层过滤滤规则重新编译译新内核核1. 释放内核核源码包包，并合合并补丁丁2. 配置内核核编译参参数：mmakee meenucconffig3. 需要配置置哪些内内核编译译参数4. 重新编译译新内核核：maake-mmakee moodulles_insstalll-maake insstalll重新编

13、译译安装iiptaablees工具具1. 先卸载原原有的iiptaablees软件件包2. 合并补丁丁，并编编译安装装新的iiptaablees工具具安装L77-prrotoocolls协议议定义包包解包后直直接执行行“makke iinsttalll”命令即即可设置应用用层过滤滤规则q 匹配格式式：-mm laayerr7 -l77prooto 协议名名q 协议定义义文件位位于：/etcc/l77-prrotoocolls/pprottocoolsq 支持以下下常见应应用层协协议的过过滤q qq：腾腾讯公司司QQ程程序的通通讯协议议q msnmmesssengger：微软公公司MSSN程序序

14、的通讯讯协议q msn-filletrranssferr：MSSN程序序的文件件传输协协议q bitttorrrentt：BTT下载类类软件使使用的通通讯协议议q xunllei：迅雷下下载工具具使用的的通讯协协议q edonnkeyy：电驴驴下载工工具使用用的通讯讯协议其他各种种应用层层协议：ftpp、htttp、ddns、iimapp、poop3q 规则示例例：过滤滤使用qqq协议议的转发发数据包包 ipttablles -A FORRWARRD -m llayeer7 -ll7prrotoo qqq -jj DRROP5.4 总结 66分钟采用提提问方式式，注意意引导学学员回答答重点即即

15、可！提问：(一) 通过SNNAT策策略实现现共享上上网应用用时，需需要将内内网访问问Intternnet数数据包的的源IPP地址修修改为哪哪个地址址？(二) 通过DNNAT策策略发布布内网服服务器时时，主要要针对访访问哪个个IP地地址的数数据包修修改其目目标地址址？(三) 重新编译译Linnux内内核时，执执行“makke mmenuuconnfigg”步骤后后建立的的配置文文件名称称是什么么（.cconffig）？六. 布布置作业业：44 分钟钟6.1本本章作业业a)课课后选择择题：P777b)课课后简答答题：PP81 题11、2、33、4、55c)抄抄写和背背诵本章章单词列列表d)完完成本

16、章章实验案案例一、案例二二6.2 作业的的提交方方式与要要求a)课课后选择择题：把把答案写写在课本本上b)课课后简答答题：作作业写在在作业本本上，下下次上课课提交c)抄抄写和背背诵本章章单词列列表：写写在作业业本上，至至少5遍遍d)完完成本章章实验案案例一和和案例二二：提交交实验报报告6.3 课后习习题答案案1. B2. D3. CD4. BD5. AC七 习题1 公司的网网关服务务器使用用了Liinuxx操作系系统。网网关上有有两块网网卡：其其中etth0连连接Innterrnett，使用用固定IIP地址址2188.299.300.311/300；etth1连连接局域域网，使使用固定定IP地

17、地址1992.1168.1.11/244，局域域网内各各主机的的默认网网关设置置为1992.1168.1.11，且已已经设置置了正确确的DNNS服务务器，现现需要在在Linnux网网关主机机中进行行正确配配置，以以使1992.1168.1.00/244网段的的局域网网用户能能够通过过共享方方式访问问Intternnet。可可以使用用( )A. iptaablees -t nnat -A POSSTROOUTIING -s 1922.1668.11.0/24 -o ethh0 -j SSNATT -to-souurcee 2118.229.330.331B. iptaablees -t nnat

18、 -A POSSTROOUTIING -s 1922.1668.11.0/24 -o ethh0 -j DDNATT -to-souurcee 2118.229.330.331C. iptaablees -t nnat -A PREEROUUTINNG -s 1192.1688.1.0/224 -o eeth00 -jj SNNAT -tto-ssourrce 2188.299.300.311D. iptaablees -t nnat -A PREEROUUTINNG -s 1192.1688.1.0/224 -o eeth00 -jj DNNAT -tto-ssourrce 2188.299

19、.300.311正确答案案：A考点：配配置SNNAT策策略实现现局域网网共享上上网 2 公司在IISP注注册了域域名wwww.bbeneet.ccom，并并对应于于Linnux网网关的外外网接口口（etth0）地地址：2218.29.30.31，公公司的网网站服务务器位于于局域网网内，IIP地址址为1992.1168.1.66，Innterrnett用户可可以通过过访问m来查看看公司的的网站内内容。可可以( )A. iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j

20、 SSNATT -to-desstinnatiion 1922.1668.11.6B. iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j DDNATT -to-desstinnatiion 1922.1668.11.6C. iptaablees -t nnat -A POSSTROOUTIING -i ethh0 -d 2218.29.30.31 -p tcpp -dpoort 80 -j DNAAT -too-deestiinattionn 1992.1168.

21、1.66D. iptaablees -t nnat -A POSSTROOUTIING -i ethh0 -d 2218.29.30.31 -p tcpp -dpoort 80 -j SNAAT -too-deestiinattionn 1992.1168.1.66正确答案案：B考点：配配置DNNAT策策略发布布内网的的应用服服务 3 在对liinuxx内核进进行重新新编译配配置时，在在字符界界面下进进入源码码目录后后，执行行什么命命令打开开配置界界面。A. makeeB. makeeconnfiggC. makee meenucconffigD. menuuconnfigg正确答案案：C考点：通通过重编编译内核核为防火火墙添加加应用层层过滤功功能