Linux防火墙与NAT服务配置.ppt

《Linux防火墙与NAT服务配置.ppt》由会员分享，可在线阅读，更多相关《Linux防火墙与NAT服务配置.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第16章章Linux防火墙与防火墙与NAT服务配置服务配置 本章介绍iptables的基本概念和基本功能，以及使用iptables架设包过滤防火墙和NAT服务的方法。学完本章后，你将能够：v描述Linux防火墙的基本概念和功能v使用iptables配置包过滤防火墙v使用iptables配置NAT服务16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.1.1 防火墙简介1.防火墙的功能 防火墙是位于不同网络（如可信的企业内部网和不可信的公共网）或网络安全域之间，对网络进行隔离并实现有条件通信的一系列软件硬件设备的集合。它通过访问控

2、制机制确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。防火墙系统可以由一台路由器，也可以由一台或一组主机组成。它通常被放置在网络入口处，所有内外部网络通信数据包都必须经过防火墙，接受防火墙的检查，只有符合安全规则的数据才允许通过。通过使用防火墙可以实现以下功能：v保护内部网络中易受攻击的服务。v控制内外网之间网络系统的访问。v隐藏内部网络的IP地址及结构的细节，提高网络的保密性。v对网络存取和访问进行监控和审计。v集中管理内网的安全性，降低管理成本。2.防火墙的类型 根据动作方式的不同，通常把防火墙分为包过滤型和应用级网关两大类。包过滤防火墙（Packet Filter）应

3、用级网关（Application-level Gateway）16.1.2 Linux包过滤防火墙的架构 iptables是一个免费的包过滤防火墙，它伴随着内核的发展而逐渐演变，大致经历了下面4个阶段：v在1.1内核中，采用ipfw来操作内核包过滤规则。v在2.0内核中，采用ipfwadm来操作内核包过滤规则。v在2.2内核中，采用ipchains来控制内核包过滤规则。v在2.4内核中（如Red Hat 9.0、RHEL），采用一个全新的内核包过滤管理工具iptables。iptables只是防火墙与用户之间的接口，真正起到防火墙作用的是Linux内核中运行的netfilter。Linux平台

4、下的包过滤防火墙由netfilter组件和iptables组件组成，其中netfilter运行在内核态，而iptables运行在用户态，用户通过iptables命令来调用netfilter来实现防火墙的功能。vnetfilter组件viptables组件 16.1.3 Linux防火墙的安装、启动与关闭 iptables防火墙内置于RHEL 4 AS系统内核中，所以它是随系统的安装而自动安装的。可使用以下命令检查是否已安装：rootrhel4#rpm -q iptables 安装RHEL 4 AS时系统会提示是否开启防火墙，默认情况下将开启防火墙。由于系统的防火墙功能是使用iptables实现

5、的，因此系统会根据用户的设置在iptables中添加相应的规则。如果在安装时选择禁用防火墙，则在安装完成后可在终端命令窗口中执行“setup”命令手工开启 完成以上配置后，可在终端命令窗口中执行如下命令启动iptables防火墙：rootrhel4#service iptables start 清除防火墙规则：确定 把 chains 设置为 ACCEPT 策略：filter 确定 正在卸载 Iiptables 模块：确定 应用 iptables 防火墙规则：确定 将上述命令中的“start”参数变换为“stop”、start”“status”可以分别实现iptables防火墙的关闭、重启和状态

6、的查看。16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.2.1 iptables的基本概念v规则 规则(rules)就是网络管理员预先定义的条件，每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数据包”。v链 链(chains)是数据包传输的路径，每一条链中可以有一条或数条规则。v表 iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功能。16.2.2 iptables数据包传输的过程16.2.3 激活IP包转发功能 如果要把Linux配置成网关防火墙，内核必须打开

7、IP包转发功能（即路由功能），这样一个数据包才能被送到FORWARD链进行规则检查，否则与防火墙相连的两边的网络是完全隔离的。打开Linux内核包转发功能，可使用以下命令来实现 rootrhel4#echo“1”/proc/sys/net/ipv4/ip_forward 上述命令只是一次性有效，为了让主机每次开机后都自动激活IP数据包转发功能，可以采用编辑配置文件/etc/sysctl.conf的方法，将其中的语句：net.ipv4.ip_forward=0 更改为net.ipv4.ip_forward=1执行如下命令：rootrhel4#sysctl -p即可让系统启动后自动打开内核的包转发

8、功能。上述操作也可以通过执行下列命令来实现相应功能：rootrhel4#sysctl -w net.ipv4.ip_forward=”1”rootrhel4#sysctl -p还可以/etc/sysconfig/network配置文件中，通过以下配置项来开启内核的包转发功能：FORWARD_IPV4true16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.3.1 iptables的命令格式 iptables用于创建、维护和检查Linux内核的IP包过滤规则，利用该命令可创建、删除或更名链，在链中创建或删除规则，设置链的策略等，功

9、能很强大，用法也比较多，其命令基本格式为：iptables -t 表名 命令选项 链 匹配选项 操作选项 1表名选项 “-t表名”用来选择要操作的表，表名可以是 filter，nat，mangle三者之一，如该参数缺省则默认为filter表；2命令选项 命令选项用来指定对链或规则的操作，包括插入、删除、添加规则等。iptables 的主要命令选项 3链名选项 “链”指定要操作的链名，各种表中所包含的链名如所述。除使用系统定义的链名外，用户也可自定义链名。4匹配选项 匹配选项指定数据包与规则匹配所应具有的特征，包括源地址、目的地址、传输协议和端口号等。iptables的主要匹配选项 5操作选项

10、操作选项用于指定对匹配过滤规则的数据包所进行的处理。其形式为“-j target/jump”，其中“target”是对包的处理动作，“jump”代表一个用户自定义的链名，用于跳转到该链进行规则检查。iptables的主要目标动作选项 16.3.2 iptables命令的使用命令的使用1对链的操作 （1）查看链 命令用法：iptables -L 链命令功能：列出指定表的全部链及其规则例【16-1】列出filter表的全部规则链。rootrhel4#iptables -L 若要列出nat表的全部规则链，则操作命令为：rootrhel4#iptables -t nat -L （2）创建新链命令用法：

11、iptables -N 链名命令功能：以指定的名称创建一个新链例【16-2】创建一个名为mychain的新链。rootrhel4#iptables -Nmychain（3）删除链 命令用法：iptables -X 链名 命令功能：删除指定的用户自定义链 例【16-3】删除新建的mychain链。rootrhel4#iptables -Xmychain（2）插入规则 命令用法：iptables-t 表名 -I 链名规则号匹配选项-j动作 命令功能：在指定的规则号的前面插入一条规则，原规则将自动后移。若未指定规则号，则默认为1，即插入在所有规则的前面。例【16-5】在第3条规则前插入一条规则，其内

12、容是禁止子网段的所有用户访问本机TCP协议的80端口。rootrhel4#iptables-I INPUT 3-s 192.168.2.0/24-p tcp-dport 80 j DROProotrhel4#iptables-L INPUT例【16-6】在第4条规则前插入一条规则，拒绝所有主机PING本机。rootrhel4#iptables I INPUT 4 s 0/0p icmp -icmp-type echo-request j DROProotrhel4#iptables-L INPUTChain INPUT(policy ACCEPT)target prot opt source

13、destinationRH-Firewall-1-INPUT all -anywhere anywhereDROP all -192.168.1.1 anywhereDROP tcp -192.168.2.0/24 anywhere tcp dpt:httpDROP icmp-anywhere anywhere icmp echo-requestACCEPT all -192.168.1.1 anywhere 在该命令中，“-s 0/0”用于指定源地址为所有主机，“-icmp-type”用于指定icmp包的类型，“echo-request”代表ping包。（3）替换规则 命令用法：iptabl

14、es-t 表名 -R 链名规则号匹配选项-j动作 命令功能：将指定编号的规则替换为新的规则。例【16-7】将例【16-5】中的第3条规则替换为允许子网段的所有用户访问本机TCP协议的80端口。rootrhel4#iptables-I INPUT 3-s 192.168.2.0/24-p tcp-dport 80 j ACCEPTrootrhel4#iptables-L INPUT（4）删除规则 命令用法：iptables-t 表名 -D 链名匹配选项-j动作 或：iptables-t 表名 -D 链名规则号 命令功能：删除指定的规则或指定编号的规则 例【16-8】删除例【16-7】中被替换的第

15、3条规则。ACCEPT或：rootrhel4#iptables-D INPUT 3（5）设置链的默认策略 命令用法：iptables -t 表名 -P 链名 目标动作 命令功能：定义指定链的默认策略，即设置所有过滤规则都不满足的数据包的默认处理方式。例【16-9】将INPUT、FORWARD和OUTPUT链的默认策略设置为ACCEPT。rootrhel4#iptables-P INPUT ACCEPT rootrhel4#iptables-P FORWARD ACCEPT rootrhel4#iptables-P OUTPUT ACCEPT（6）清除规则链中的所有规则 在新建规则时往往需要清除

16、原有的规则，以免它们影响新设定的规则。如果规则比较多，一条条删除就会十分麻烦这时可以使用iptables提供的清除规则选项达到快速删除所有规则的目的。命令用法：iptables -t 表名 -F 链名 命令功能：删除指定链中的全部规则，若未指定链，则删除表中所有链中的规则。例【16-10】清除filter表中INPUT链中的全部规则。rootrhel4#iptables-F INPUT（7）归零包计数器 命令用法：iptables -t 表名 -Z 命令功能：将指定表中的包计数器和流量计数器清零，如不指定表，则默认为filter表。例【16-11】将filter表中的所有包计数器清零。root

17、rhel4#iptables -Z 若要将nat表中的所有包计数器清零，则实现命令为：rootrhel4#iptables -t nat -Z3保存与恢复过滤规则 用上述方法所建立的规则会被保存到内核中，在重启系统时，会丢失这些规则。所以如果用户将没有错误且有效的规则集添加到数据包过滤表，则时希望在重启系统之后再次使用这些规则，必须将该规则集保存在文件中。其命令为：rootrhel4#iptables-save /etc/sysconfig/iptables 将数据包过滤表中的所有规则保存到/etc/sysconfig/iptables脚本文件中以后，无论何时重启系统，都可以使用iptable

18、s-restore命令将规则集从该脚本文件恢复到数据包过滤表。其命令为：rootrhel4#iptables-restore /etc/sysconfig/iptables 如果用户希望在每次启动系统时自动恢复该规则集，可以将上面指定的这条命令放到任何一个初始化shell脚本中，或如下的命令来保存规则：rootrhel4#service iptables save16.3.3 防火墙配置实例iptables配置包过滤防火墙的方法与步骤 1安装RHEL 4 AS服务器2编辑防火墙脚本firewall.sh 3设置脚本具有可执行权限，并执行脚本使配置生效4保存防火墙规则16.1 Linux防火墙概

19、述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.4.1 NAT服务概述1什么是NAT NAT（Network Address Translation，网络地址转换）是一个根据RFC1631开发的IETF标准。NAT就是用来将IP报文头中的目的或源私有地址修改成公有地址的一种设备，利用NAT可实现私有地址与公网地址的相互转换。它还可以和防火墙技术结合使用，将特定的IP地址隐藏起来使外部网络无法直接访问内部网络的特定主机。2NAT的工作原理NATSA：192.168.1.2SP：1029DA：202.205.11.70DP：80SA：202.205.11.7

20、0SP：80DA：192.168.1.2DP：1029SA：202.205.11.70SP：80DA：210.29.160.120DP：1029SA：210.29.160.120SP：1029DA：202.205.11.70DP：80eth0：192.168.1.1eth1：210.29.160.120Web服务器202.205.11.70客户机192.168.1.23NAT的类型（1）静态SNAT(Static NAT)：SNAT使用一个静态的IP地址映射表来替换修改数据包的源地址或源端口。（2）网络地址端口转换DNAT（Destination-NAT）：也称为反向NAT，它会替换修改经过N

21、AT网关的IP数据包的目的IP地址或端口。（3）动态地址NAT(Pooled NAT)：使用动态的IP地址映射表来改变数据的源地址或端口。16.4.2 使用iptables实现NAT服务1.利用iptables实现SNAT示例 eth1：58.221.242.110eth0：192.168.1.1内网主机Internet192.168.1.0/24NAT网关服务器实现NAT转换及防火墙功能的方法与步骤如下:1.配置RHEL 4 AS的内外网网卡。2.编写脚本snat.sh。3.设置脚本snat.sh具有可执行权限，并执行该脚本，使配置生效。4.测试SNAT的功能。2利用iptables实现DN

22、AT示例 eth1：58.221.242.110eth0：192.168.1.1内网主机Internet192.168.1.0/24NAT网关服务器配置方法与步骤如下:1.配置RHEL 4 AS的内外网网卡。2.编写脚本snat.sh。3.设置脚本snat.sh具有可执行权限，并执行该脚本，使配置生效。4.测试DNAT的功能。本章小结 防火墙是位于不同网络（如可信的企业内部网和不可信的公共网）或网络安全域之间，对网络进行隔离并实现有条件通信的一系列软件硬件设备的集合。其基本功能是分析出入防火墙的数据包，根据IP包头结合防火墙的规则，来决定是否接受或允许数据包通过。根据动作方式的不同，通常把防火墙分为包过滤型和应用级网关两大类。Linux平台下的包过滤防火墙由netfilter组件和iptables组件组成，其中netfilter运行在内核态，而iptables运行在用户态，用户通过iptables命令来调用netfilter来实现防火墙的功能，iptables内置了3个表(tables)，即filter表、nat表和mangle表，分别用于实现包过滤、网络地址转换和包重构的功能。每张表中包含若干个链，而每个链由若干条规则组成，配置防火墙的主要工作就是添加、修改和删除这些规则。利用iptables可以配置包过滤防火墙，还可以配置NAT服务。