linux服务器配置.ppt

《linux服务器配置.ppt》由会员分享，可在线阅读，更多相关《linux服务器配置.ppt（171页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 服务器服务配置 主讲人：吴万臣Samba服务器oSamba 在linux和windows两大平台之间相互共享，文件传输等。应用环境：1.文件和打印机共享2.身份验证和权限设置3.浏览服务4.名称解析工作原理：1.协议协商 客户端发送negport数据包，告知目标支持的SMB类型，samba服务器选择最优SMB2.建立连接客户端发送session指令，提交账号和密码请求建立连接。服务器为其提供UID，供通信时使用3.访问共享资源 访问共享资源时，发送tree connect指令数据包，samba服务器为每个客户端与共享资源的连接分配TID4.断开连接 共享使用完毕，客户端向服务器发送tree

2、disconnect报文关闭共享，与服务器断开连接Samba相关进程1.Nmbd：其功能是进行netbios名解析，并提供浏览服务显示网络上的共享资源列表2.Smbd：主要功能是用来管理samba服务器上的共享目录，打印机等。o安装samba服务Samba服务需要以下几个软件包Samba服务的主程序（第二张RHEL5光盘)Samba的客户端工具（第一张RHEL5光盘)3.samba-common-3.0.23c-2（第一张RHEL5光盘)该包存放的是通用的工具和库文件。4.system-config-samba（第三张RHEL5光盘)Samba图形化管理工具Samba软件的安装检测系统是否安装

3、了samba软件包rpm qa|grep samba安装所需的软件包Samba服务器搭建流程1.编辑主配置文件smb.conf，指定需要共享的目录，为共享目录设置共享权限2.在smb.conf文件中指定日志文件名称和存放目录3.设置共享目录的本地系统权限4.重新启动服务或加载配置文件，使配置生效1.主配置文件Vi /etc/samba/smb.conf1.将workgroup=mygroup改为workgroup=workgroup2.将host allow前的“；”去掉，将允许访问此服务器的一台PC或一个网段，卸载“=”后面3.设置samba服务器的安全模式share,user,server

4、,domain,ads 5种安全模式。Share安全模式 客户端登录samba服务器，不需要用户名和密码。User安全模式 需要提交用户名和密码，默认为user模式Server安全模式 客户端需要将用户名和密码提交到指定的一台samba服务器上验证。Domain 安全模式 服务器加入到windows域环境中，验证工作由windows域控制器负责。Ads安全模式 服务器加入到windows域环境中，其含有domain级别中的所有功能，并可以具备域控制器的功能。在smb.conf中，security=userz4.设置共享目录1)设置共享名 共享名2)共享资源描述 comment=注释信息3)共享

5、路径 path=完整路径4)设置匿名访问 public=yes/no5)设置访问用户 valid users=用户名6)设置目录只读 readonly=yes/no7)设置目录可写 writable=yes/no例：shareComment=gongxiangPath=/share/toolsPublic=yesValid=bossReadonly=yesWritable=yes2.Samba日志文件/var/log/samba存放着客户端网络访问服务器的相关日志ls/var/log/samba3.Samba服务密码文件/etc/samba/smbpasswd用户名和密码存放在smbpassw

6、d文件中建立samba账号Smbpasswd a 账号Samba账号不能够直接建立，需要建立linux同名系统账号例：useradd liu smbpasswd a liu使用cat/etc/samba/smbpasswd查看smbpasswd下的账号 4.Samba服务启动与停止1)启动服务Service smb start或/etc/rc.d/init.d/smb start2)停止服务Service smb stop或/etc/rc.d/init.d/smb stop3)重新启动服务Service smb restart或/etc/rc.d/init.d/smb restart4)服务配

7、置重新加载Service smb reload或/etc/rc.d/init.d/smb reload*在linux服务中，更改配置文件后，一定要记得重启服务，让服务重新加载，才能生效5.客户端访问samba服务器1)Windows客户端访问samba服务器在开始运行 输入samba服务器的IP地址2)Linux客户端访问samba服务器1.使用mount将共享目录挂载本地mount t cifs/samba服务器IP地址/共享目录名 挂载点 o username=用户名2.使用smbclient命令先确保samba-client安装Smbclient L samba服务器IP地址 U 登录用

8、户名%密码5.自动加载samba服务1)ChkconfigChkconfig level 3 smb on/off运行级别3自动加载或不加载2)Ntsysv利用文本图形界面对smb自动加载进行配置oSamba高级服务器配置1.用户账号映射 Samba服务器的账号必须对应一个同名的系统账号，这对服务器来说并不安全。建议使用虚拟账号。1）编辑smb.confVi/etc/samba/smb.conf在global下添加一行字段globalUsername map=/etc/samba/smbusers开启用户账号映射功能2)编辑smbusersVi/etc/samba/smbusers打开smbu

9、sers文件后，添加账号映射关系Liu=kuaile happyLiu为本地账号，kuaile,happy为虚拟账号3)重新启动samba服务Service smb restart2.客户端访问控制Valid users=用户名Valid users=组名Valid字段 无法限制客户端访问控制1)Hosts allow和hosts denyVi/etc/samba/smb.conf修改服务器的安全模式为 share在共享目录中或global下输入下列字段Hosts deny=172.16.192.168.1.当deny和allow字段中同时出现同一网段IP地址，hosts allow优先2）使

10、用域名限制Hosts deny= free拒绝域和.net域以及主机free的客户端*hosts deny和hosts allow两个字段可以设置在global里，表示对samba服务器生效，如果设置在目录下，则表示只对单一目录生效3.Samba的隐藏共享browseable=yes 不隐藏目录browseable=no 隐藏目录可以为特殊用户独立配置文件1.cd/etc/samba2.cp smb.conf smb.conf.用户名3.vi smb.confglobalConfig file=/etc/samba/smb.conf.%U4.Vi smb.conf.用户名共享名Path=/路径

11、Browseable=yes/noDHCP服务器oDhcpDhcp所需软件包DHCP主程序DHCP服务器开发工具软件包，提供库文件DHCP的IPv6扩展工具，使dhcp服务器支持ipv6DHCP客户端IPv6软件包，帮助客户端获取动态IPDhcp的安装1.检测DHCP安装包rpm qa|grep dhcp2.安装软件包DHCP服务器搭建流程1.编辑主配置文件dhcpd.conf，指定IP作用域，指定分配一个或多个IP地址范围。2.建立租约数据库文件3.重新加载文件或重新启动服务，使配置生效*通常情况下dhcpd.conf文件是不存在的，需要手动建立该文件1.编辑主配置文件当软件包安装好后，会自

12、动生成主配置文件的范本文件，可使用cp复制到/etc下配置2.Vi/etc/dhcpd.conf (参数配置）1）全局参数ddns-update-style none|interim|ad-hoc;不支持，支持，特殊，DNS动态更新2.allow/ignore client-updates;允许/忽略客户端的动态更新请求。3.default-lease-time number(数字）定义默认的IP租约时间 （秒）default-lease-time 86400;4.max-lease-time number(数字）定义客户端IP租约时间的最大值max-lease-time 43200;2)局部

13、参数subnet 分配地址段 netmask 子网掩码range dynamic-bootp 起始IP地址 结束IP地址；option routers 默认网关option subnet-mask 子网掩码option domain-name-servers DNS服务器的IP地址绑定IP到某台PC机上 host PC机名称 hardware ehernet MAC地址；fixed-address 要分配的IP地址；3.DHCP的启动与停止Service dhcpd startService dhcpd stop4.自动加载DHCP服务1)Chkconfig命令Chkconfig-level

14、3 dhcpd on自动加载Chkconfig-level 3 dhcpd off不自动加载2）ntsysv使用ntsysv,利用文本图形界面对dhcpd加载oDHCP高级配置1.Dhcp多作用域 1)在dhcp服务器上添加多块网卡，每个网卡配置独立的IP地址 2)编辑dhcpd.conf在文件中编辑多个subnet,每块网卡对应一个subnet.3)重启dhcp服务2.超级作用域 超级作用域可以将多个作用域组合为单个管理实体,进行统一管理编辑dhcpd.conf文件,固定格式如下Shared-network 超级作用域名称 subnet 子网号 netmask 掩码 参数 声明Dhcp中继代

15、理可以跨越多个网段动态分配IP地址1）配置DHCP服务器在dhcp 服务器上配置超级作用域2）配置DHCP中继代理设置中继代理的多个网卡地址启用中继代理 dhcrelay DHCP服务器IP地址Dhcp客户端1.Linux 客户端编辑网卡配置文件 Vi/etc/sysconfig/network-scripts/ifcfg-eth0将BOOTPROTO=none修改为BOOTPROTO=dhcp2.重新启动网卡或使用dhclientIfdown eth0Ifup eth0或 dhclient eth0DNS服务器配置1.DNS所需软件包该包为DNS服务的主程序包（第二张光盘）客户端工具（第一张

16、光盘）2.DNS的安装检测DNS软件包rpm qa|grep bindDNS复习知识DNS(domain name system)定义了主机名称与IP地址的对应关系DNS采用分散形式的数据存储，将名称解析信息分别存储在不同的名称服务器上，形成一个分布式数据库。DNS采用层次逻辑结构DNS的域分为根域，顶级域，二级域，子域。并且域中包含主机和子域。组织域 com net edu org gov 地理域 cn kr us jp 反向域 将IP映射到名字3.DNS服务器搭建流程1）建立主配置文件named.conf，该文件用来定义管理哪些区域,以及路径2）建立区域文件（正向区域，反向区域）3）重新加

17、载配置文件或启动服务主配置文件/var/named/chroot/etc/named.confNamed.conf主配置分为整体和局部两个部分整体配置options 字段 字段值；可选条件选择语句，一般用来设置DNS服务器工作的目录。局部配置zone“区域名“type 区域类型；file 区域文件名；区域名为服务器要管理区域的名称，如type 指定区域的类型，master主服务器，slave辅助DNS服务器，hint根域名服务器指定的线索区域区域文件名属于相对路径，实际路径/var/named例：vi/var/named/chroot/etc/named.conf options direct

18、ory“/var/named”;/定义工作目录 zone“”type master;file“.zone”;/定义正向区域 zone“11.16.172.in-addr.arpa”type master;file“11.16.172.zone”;/定义反向区域zone“.”type hint;file“named.ca”;/定义根区域注意：1.配置文件中的语句必须以”;”结尾2.options条件语句必须用花括号，括起来3.注释符号可以用/，#以及/*/资源记录 区域文件实际上是DNS的数据库，而资源记录就是数据库中的数据。这些数据包括多种记录类型，如SOA，NS，A记录等，如果没有资源记录，

19、那么DNS服务器将无法为客户端提供域名解析服务。SOA资源记录为起始授权机构记录，最重要，最常用的一种资源记录。SOA资源记录的语法格式：区域名 记录类型 SOA 主域名服务器 管理员邮件地址（序列号 刷新间隔 重试间隔 过期间隔 TTL）例：.IN SOA .(20081106；serial 21600 ；refresh 3600 ；retry 604800；expiry 86400；minimum)NS记录 用于指定一个区域的权威DNS服务器，能够应答区域内所含名称的查询NS资源记录的语法格式：区域名 IN NS 完整主机名例：正向区域文件$TTL 86400 IN SOA .root.l

20、ocalhost.(20081106；serial 21600 ；refresh 3600 ；retry 604800 ；expiry 86400 ；minimum)www IN A 172.16.11.86 /A资源记录 主机名解析IP地址反向区域文件$TTL 86400 IN SOA .root.localhost.(20081106；serial 21600 ；refresh 3600 ；retry 604800 ；expiry 86400 ；minimum)IN NS .85 IN PTR .86 IN PTR./PTR 解析IP地址对应的主机名DNS的启动与停止Servie name

21、d startService named stopDNS高级配置1.辅助DNS在辅助DNS上修改named.conf，添加如下Zone “域名”type slave;masters 主服务器的IP地址；file“salves/主服务器区域文件名“；注意：在配置区域复制时，首先关闭RHEL5的SERHEL5功能，否则区域数据可能无法复制vi/etc/seRHEL5/configSERHEL5=disable重新启动系统使配置生效Sendmail服务器的配置邮件系统工作原理1)邮件功能组件1.MUA 客户端软件 mailx outlook foxmail2.MTA 服务器端软件 sendmail

22、postfix3.MDA 服务器端代理软件 2）邮件系统1.邮件服务器 SMTP 邮件交换服务器 POP或IMAP 邮件接收服务器2.邮箱 3.DNS邮件交换记录 邮件服务器的位置的DNS记录1.Sendmail需要的软件包Sendmail的主程序包Sendmail的宏文件包Sendmail宏过滤处理软件包该包为接收邮件软件1.检测软件包rpm qa|grep sendmail2.相关配置文档1）sendmail.cf sendmail的核心配置文件 /etc/mail/sendmai2）access.db 用来设置哪些主机进行转发邮件 /etc/mail/access.db3）aliases

23、.db文件用来定义邮箱别名。该文件位于/etc/mail/aliases.db4）virtusertable.db用于设置虚拟帐户。该文件位于 /etc/mail/virtusertable.db3.Sendmail服务器架设流程1）配置sendmail.mc文件2）使用M4工具将sendmail.mc文件导入sendmail.cf文件3）配置local-host-names文件4）建立用户5）重新启动服务，使配置生效1）配置sendmail.cf 和sendmail.mcSendmail.cf是sendmail的核心配置文件，内容为特定宏语言编写，使用修改sendmail.mc文件来代替se

24、ndmail.cf编辑sendmail.mc文件，使用M4工具将结果导入sendmail.cf文件中。Vi/etc/mail/sendmail.mc2)M4工具的使用rpm qa m4M4工具在RHEL5的第二张光盘在配置sendmail过程中，需要利用m4工具将其编辑后的sendmail.mc 文件内容重新定向到sendmail.cf文件中m4/etc/mail/sendmail.mc /etc/mail/sendmail.cf3.local-host-names文件用来定义收发邮件的主机别名。Vi/etc/mail/local-host-names如：4.建立用户Groupadd mail

25、Useradd g mail wuUseradd g mail feipasswd wupasswd fei5.重启服务Service sendmail startService sendmail restart6.设置邮件中继Vi/etc/mail/accessAccess文件用语控制邮件中继和邮件的进出的管理。REJECT OK RELAY 修改access文件，必须使用makemap建立新的access.db数据库。makemap hash access.db accessoSendmail的高级配置Sendmail的验证通过邮件的认证机制，能够有效地拒绝非法用户使用邮件服务器中继功能。

26、1）安装sasl库2)配置sendmail.mc编辑sendmail.mc,去掉以下3行的dnl字段，开启sendmail认证功能。52行 不管access如何设置，都能relay那些通过LOGIN，PLAIN，DIGEST-MD5方式的验证53行 确定系统的认证方式123行 开启认证FTP服务器配置1.FTP所需的软件包位于第二张光盘2.检测软件包rpm qa|grep vsftp3.Vsftp相关文档Vsftpd.confVsftp核心配置文件，该文件位于/etc/vsftpd/etc/vsftpd.ftpusers指定哪些用户不能访问FTP服务器/etc/vsftpd.user_list

27、禁止或允许使用vsftpd的用户列表文件/var/ftp默认情况下匿名用户的根目录 FTP服务器Vi/etc/vsftpd/vsftpd.conf1.anonymous_enable(yes|no)是否允许匿名用户登录2.local_enable(yes|no)是否允许本地用户登录3.write_enable(yes|no)使用者是否有写权限4.local_umask=022设置本地用户新建文件的权限的掩码5.dirmessage_enable(yes|no)设置是否开启目录提示功能6.xferlog_std_format(yes|no)用于设置日志的格式是否是标准格式7.connect_fr

28、om_port_20设置接口模式传输数据时使用20端口8.Listen(yes|no)控制vsftpd进程操作行为的字段是否使用stand-alone模式启动，而不是使用超级进程（xinetd)9.pam_service_name设置在使用PAM模块进行验证时使用的文件名10.userlist_enable（yes|no)是否使用控制用户登录的用户列表11.tcp_wrappers(yes|no)是否在vsftpd中使用远程访问控制机制附加：实现匿名用户访问1.anonymous_enable(yes|no)是否允许匿名用户登录2.anon_mkdir_write_enable(yes|no)

29、是否允许匿名用户创建目录3.anon_root(yes|no)设置匿名用户的根目录4.anon_upload_enable(yes|no)是否允许匿名用户上传文件5.anon_world_readable_only(yes|no)是否只允许匿名用户下载可阅读文档6.anon_max_rate设置匿名拥护的最大数据传输速度 7.write_enable=YES o例搭建一台FTP服务器，允许匿名用户上传和下载文件，匿名用户的根目录设置为/var/ftpVi/etc/vsftpd/vsftpd.confanonymous_enable=YESanon_root=/var/ftpAnon_uploa

30、d_enable=YES Anon_other_write_enable=YESAnon_mkdir_write_enable=YESWrite_enable=YES实现实体用户访问1.local_root设置所有本地用户的根目录2.local_umask设置本地用户新建文件的umask数值3.user_config_dir设置用户配置文件所在的目录o例搭建一台只允许本地帐户登录的FTP服务器Vi/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESlocal_root=/home测试使用匿名帐户登录定制FTP目录欢迎信息1.dir

31、message_enable（yes|no)是否开启目录提示功能2.message_file定义提示信息的文件名限制用户目录1.chroot_local_user(YES|NO)是否将本地用户锁定在家目录中2.chroot_list_enable(YES|NO)是否锁定使用者在家目录中3.chroot_list_file设置锁定用户的列表文件。文件中一行代表一个用户高级服务器配置1.用户控制/etc/pam.d/vsftpdSense字段默认拒绝/etc/ftpusers里的用户/etc/ftpusers添加系统用户2.设置VSFTP虚拟帐号1）创建用户文本文件Mkdir/vuserVi/vf

32、tp/vuser.txt 123 xiaoqiang jack2).生成数据库db_load T t hash f/vftp/vuser.txt/vftp/vuser.dbls/vftp3)修改数据库文件Chmod 700/vftp/vuser.db2.配置PAM文件Vi/etc/pam.d/vsftpd添加如下内容auth required/lib/security/pam_userdb.so db=/vsftpd/vuserAccount required/lib/security/pam_userdb.so db=/vsftpd/vuser 3.创建虚拟帐户对应系统用户Useradd d

33、/var/ftp/vuser vuserMkdir/var/ftp/vuserChown vuser.vuser/var/ftp/vuserChmod 777 R/var/ftp/vuser4.修改vsftpd.confGuest_enable=YESGuest_username=vuserApache服务器配置1.Apache所需的软件Apache主程序包（第二张光盘）Apache开发程序包2.软件包的检测rpm qa|grep httpd3.Apache常规配置httpd.conf核心配置文件，/etc/httpd.conf整个配置文件分3个部分1）全局环境 global environm

34、ent2）主服务配置 main server configuration3）虚拟机配置 virtual hosts1.设置主机名称Servername字段定义了服务器名称和端口号servername:80servername 172.16.11.85:802.设置文档目录Documentroot定义了网站的内容都保存在文档中Documentroot“/var/www/html”3.设置首页名称Directoryindex 首页名称directoryindex index.html index.php4.网页编码设置AddDefaultCharset GB2312 4.Apache的启动与停止S

35、ervice httpd startService httpd stopService httpd restart5.使用ntsysv命令,利用文本图形界面对apache自动加载进行配置Apache高级服务器配置1.配置Apache虚拟主机虚拟主机,利用一台主机的资源,建立多个虚拟的Web主机,充分挖掘服务器的潜力.1)基于IP的虚拟机.通过IP地址识别虚拟主机,这必须要为服务器网卡绑定多个IP地址.Ifconfig eth0:0 IP地址 netmask 子网掩码Ifconfig eth0:1 IP地址 netmask 子网掩码修改配置文件httpd.confDocumentroot /va

36、r/www/htmlServername IP或 域名Documentroot /var/www/htmlServername IP或 域名2)基于域名的虚拟主机修改httpd.conf添加如下 Namevirtualhost*:80在DNS中，建立多个域名对应服务器的IP地址2.Apache访问控制Apache server限制某个目录或文档的权限.默认情况下的安全配置是拒绝一切访问Options FollowSymLinks表示可以使用符号连接AllowOverride None禁止使用.HtaccessOrder allow,deny表示默认情况下禁止所有客户端访问,且allow字段在d

37、eny字段之前被匹配例 order allow,deny Allow from all 允许所有的客户端访问 order allow,deny仅允许192.168.1.0网段访问,但其中192.168.1.1不能访问Order deny,allow表示默认情况下允许所有客户端访问,且deny字段在allow语句之前被匹配例 order deny,allow deny 拒绝IP地址为10.0.0.1和来自域的客户访问.Mysql数据库一,Mysql基本操作1.软件包的检测rpm qa|grep mysql2.启动mysqlService mysqld startService mysqld st

38、opService mysqld restart3.进入mysql mysql4.创建数据库 create database 数据库名称;create database sunny;5.显示数据库 show databases;6.创建表 use 数据库名;create table 表名(字段名 字段类型(长度),字段名 字段类型(长度).)7.添加记录Insert into 表名(字段1,字段2,.字段n)values(字段1的值,字段2的值,字段n的值);8.更新记录Update 表名 set 字段名=字段值 where 字段名=字段值;9.数据库查询显示数据库列表 show databa

39、ses;选定数据库 use 数据库名;显示当前数据库 select database();显示当前数据库列表 show tables;显示指定表的内容 select*from 表名;10.删除操作Delete from 表名 where 条件;11.删除表 drop table 表名;12.删除数据库 drop database 数据库名;13.退出mysql quit exit 二,mysql用户配置1.查看当前用户Select user();2.创建用户Insert into mysql.user(host,user,password)values(%,guest,password(gue

40、st);Flush privileges;重载授权表3.更改用户密码Update mysql.user set password=password(新密码)where user=用户;4.Flush privileges;重载授权表5.删除用户Delete from mysql.user where user=用户名;6.用户授权Grant all privileges on 数据库名.表名 to 用户名主机名 identified by 密码;例 创建kkk使其对sunny数据库具有完全的控制权限Grant all privileges on sunny.*to kkk%identified

41、 by 123456;7.撤消用户授权Revoke all on 数据库名.表名 from 用户名主机名;Revoke all on sunny.*from kkk%*只是消除用户的权限,而不是将其删除三,mysql的备份与恢复1.Mysqldump 数据库名称 /路径/备份文件名2.将文本数据导入到数据库中Load data local infile”文件名”into table 表名;iptables1.Iptables简介Netfilter/iptables IP过滤数据包系统由netfilter和iptables两个组件构成.netfilter集成在内核中的一部分,作用是定义,保存相应

42、的规则.而iptables是一种工具,用以修改信息的过滤规则及其它配置.2.Netfilter是LINUX核心中的一个通用架构,它提供了一系列的”表”,每个表由”链”组成.每条链可以由一条或数条”规则”组成.名词解释1.规则:设置过滤数据包的具体条件,如IP,端口,协议及网络接口等信息.Address port protocol interface 动作:当数据经过LINUX时,若netfilter检测该包符合相应规则,则会对该数据包进行响应的处理2.ACCEPT DROP REJECT LOG3.链 数据包传递过程中,不同的情况下所要遵循的规则组合成链.分为内置链和用户自定义链,netfil

43、ter常用内置链PREROUTING 数据包进入本机,进路由表之前INPUT 通过路由表后,目的地为本机OUTPUT 由本机产生,向外转发FORWARD 通过路由表后,目的地不为本机POSTROUTING 通过路由表后,发送至网卡前4.表 接受数据包时,netfilter会提供以下3种数据包处理的功能.过滤 filter 地址转换 nat 变更 mangleNetfilter根据数据包的处理需要,将链进行组合,设计了3个表:filter,nat,mangle一.Iptables的安装rpm qa|grep iptables二.Iptables的启动与停止Service iptables sta

44、rtService iptables stopService iptables restart三.防火墙的配置Iptables的语法Iptables t 表的类型 命令 匹配 操作Iptables t filter A INPUT P icmp j DROP1.表的类型 filter nat mangle2.命令 插入规则 删除规则 添加规则-P 定义默认规则 iptables t filter P INPUT DROP-L 查看iptables规则表-A 在规则列表最后添加1条规则Iptables A OUTPUT-sport 22 DROP-I 在指定位置插入1条规则Iptables I

45、INPUT 2-dport 80 j ACCEPT-D 从规则列表中删除1条规则Iptables t filter D OUTPUT p udp j DROP-R 替换规则列表中的某条规则-F 删除表中的所有规则Iptables F OUTPUT-Z 将表中数据包计数器和流量计数器归零3.匹配选项-i 指定数据包从哪个接口进入 如 eth0Iptables A INPUT i eth0 j ACCEPT*这个匹配操作只能用于INPUT,FORWARD,PREROUTING链中.在接口前加!表示取反 Iptables A INPUT i !eth0 j ACCEPT匹配除eth0外的所有数据包-

46、o指定数据包从那个接口输出 如 eth1Iptables A FORWARD i eth0 o eth1 j ACCEPT*这个匹配操作只能用于OUTPUT,FORWARD,PREROUTING链中.-p指定数据包匹配的协议 如 tcp udp icmpIptables A INPUT p udp j DROP-s指定数据包匹配的源地址Iptables A INPUT s 172.16.11.60 j DROP-d指定数据包匹配的目的地址 Iptables I OUTPUT d 192.168.1.0 j ACCEPT-sport 源端口号(指定的数据包是不是源端口)Iptables A IN

47、PUT-sport 80 j ACCEPT-dport目标端口号Iptables A INPUT-dport 80 j ACCEPT 4.动作选项ACCEPT 接收数据包DROP 丢弃数据包SNAT 源地址转换DNAT 目标地址转换REJECT 丢弃数据包 向发送者返回错误信息5.保存与恢复规则Iptables-save用来保存规则Iptables-save /etc/iptables-saveService iptables save使用重定向来保存这些规则Iptables-restoreIptables-restore /proc/sys/net/ipv4/ip_forward2.添加SA

48、NT规则iptables t nat A POSTROUTING o eth1 j SNAT-to-source 10.0.0.2 3.保存 service iptables save3.配置DNATDNAT需要在nat表的PREROUTING链设置,配置参数为-to-destinationiptables t nat A PREROUTING i 内网接口 p 协议-dport 端口 j SNAT-to-destination IP地址例:iptables t nat A PREROUTING i eth0 p tcp-dport 80 j SANT-to-destination 192.1

49、68.1.10 例:发布内网服务器公司网络内部搭建了一台Web服务器,其IP地址为192.168.1.3,防火墙外部地址为202.200.30.27,现需要调整防火墙的设置,保证外网用户能够正常访问该服务器.iptables t nat A PREROUTING d 202.200.30.27 p tcp-dport 80 j DNAT-to-destination 192.168.1.3 实现负载均衡 如果内部网络存在多台相同类型应用的服务器,可以使用DNAT,将外部的访问流量分配到多台server上,实现负载均衡,减轻服务器的负担.如:公司内部共有3台数据相同的web服务器,IP地址分别为

50、10.0.0.10,10.0.0.11,10.0.0.12,防火墙外部地址为159.226.100.23,为了提高页面的响应速度,需要对web服务进行优化.iptables t nat A PREROUTING d 159.226.100.23 p tcp-dport 80 j DNAT-to 10.0.0.10-10.0.0.12 4.MASQUERADE(拨号上网)针对外部接口动态ip地址而设计的,不需要使用-to-souce指定转换的IP地址iptables t nat A POSTROUTING o eth1 s 172.16.0.0 j MASQUERADE Squid代理服务1.什