《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟4210.docx》由会员分享,可在线阅读,更多相关《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟4210.docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、linnux网网关及安安全应用用理论论课教案案第3章(配配置ipptabbless防火墙墙二)linnux网网关及安安全应用用理论论课教案案1一.课程程回顾11二.本章章工作任任务(问题列列表)1三.本章章技能目目标2四.本章章重点难难点24.1课课程重点点24.2课课程难点点2五.整章章授课思思路 1000分钟25.1本本章授课课思路:25.2预预习检查查、任务务、目标标部分 100分钟25.3 技能点点讲解80分分钟35.4 总结 6分分钟 采用提提问方式式,注意意引导学学员回答答重点即即可!77六. 布布置作业业:44 分钟钟86.1本本章作业业86.2 作业的的提交方方式与要要求86.
2、3 课后习习题答案案8七习题题8课时:22学时授课人:焦可伟伟一. 课程回顾顾1. iptaablees与nnetffiltter的的作用及及区别是是什么?2. iptaablees命令令的语法法格式包包括哪些些组成部部分?3. 若设置iiptaablees规则则时未指指定表名名,默认认使用哪哪个表?4. 设置显式式匹配条条件时,需需要注意意什么?5. 防火墙对对数据包包的常见见处理方方式包括括哪些?二.本章章工作任任务(问问题列表表)1. 公司使用用Linnux系系统作为为网关服服务器,应应如何设设置才能能使局域域网用户户接入IInteerneet?2. 公司申请请的唯一一公网IIP地址址已
3、被LLinuux网关关服务器器使用,而而网站服服务器在在局域网网内的另另一台机机器,在在网关上上应如何何配置才才能让IInteerneet上的的客户端端访问该该网站服服务器?3. 在网关服服务器上上应做哪哪些设置置,以便便在家里里也能通通过Innterrnett远程管管理公司司内部的的服务器器?4. 在Linnux网网关服务务器上,如如何限制制内网用用户使用用QQ、MMSN以以及BTT下载等等?三.本章章技能目目标q 会使用SSNATT策略配配置共享享上网q 会使用DDNATT策略发发布企业业内网的的应用服服务q 会为Liinuxx防火墙墙增加应应用层过过滤功能能四.本章章重点难难点4.1课课
4、程重点点q SNATT策略及及其应用用q DNATT策略及及其应用用q 使用Laayerr7应用用层过滤滤4.2课课程难点点q SNATT的原理理q DNATT的原理理q 重新编译译Linnux内内核(强调:这个知知识点即即是重点点也是难难点,需需要在课课上强调调)五.整章章授课思思路 1000分钟5.1本本章授课课思路:本章主主要以案案例的形形式讲述述ipttablles防防火墙的的几种典典型企业业应用:(1)、局域域网共享享上网;(2)、Innterrnett中发布布内网服服务器;(3)、使用用Layyer77应用层层过滤策策略封锁锁QQ、MMSN、BBT等应应用。先讲解解原理,再再演示案
5、案例。章节内内容共分分三个小小节。5.2预预习检查查、任务务、目标标部分 100分钟1)预习习检查:(2分分钟)n Iptaablees的典典型应用用有哪些些?n 什么是SSNATTn 什么是DDNATTn Linuux内核核编译的的概念2)技能能目标讲讲解:(4分钟)(一) 会使用SSNATT策略配配置共享享上网(二) 会使用DDNATT策略发发布企业业内网的的应用服服务(三) 会为Liinuxx防火墙墙增加应应用层过过滤功能能3) 课课程结构构:(44分钟)5.3 技能点点讲解80分分钟1)SSNATT策略及及应用20分钟钟a)引引入:介介绍企业业局域网网接入IInteerneet的需需求
6、,来来引出iiptaablees的应应用SNNAT。b)讲讲解要点点:SNATT策略的的应用环环境(通通过SNNAT实实现共享享上网)SNATT策略的的原理通过SNNAT实实现MAASQUUERAADE(IIP地址址伪装),主主要强调调在整个个过程中中,数据据包在数数据流中中的变化化。重点是MMASQQUERRADEE的作用用和特点点。SNATT策略的的应用SNATT典型应应用于局局域网共共享上网网的接入入,而处处理数据据包的切切入时机机,主要要选择在在路由选选择之后后(POOSTRROUTTINGG)进行行。SNATT的关键键在于将将局域网网外发数数据包的的源IPP地址(私有地地址)修修改为
7、网网关的外外网接口口IP地地址(公公网地址址)。SNATT只能用用于NAAT表的的POSSTROOUTIING链链。网关使用用动态公公网IPP地址的的情况如果是通通过ADDSL拨拨号方式式连接IInteerneet,则则外网接接口名称称通常为为 pppp0、pppp11等c)课课堂案例例:案例一:SNAAT应用用iptaablees -t nnat -A POSSTROOUTIING -s 1922.1668.11.0/24 -oo etth0 -j SNAAT -too-soourcce 2218.29.30.31案例二:网关使使用动态态公网IIP地址址的情况况2)DDNATT策略及及应用2
8、0分钟钟a)引引入:介介绍在IInteerneet中发发布内网网应用服服务器的的需求,引引出DNNAT的的应用。b)讲讲解要点点:DNATT策略的的应用环环境在Intternnet中中发布位位于企业业局域网网内的服服务器。DNATT策略的的原理目标地址址转换,DDesttinaatioon NNetwworkk Adddreess Traansllatiion;修改数据据包的目目标IPP地址;DNATT策略的的应用通过DNNAT策策略同时时修改目目标端口口号使用形式式:只需要在在“-tto-ddesttinaatioon”后的目目标IPP地址后后面增加加“:端口口号”即可,即即: -j DNA
9、AT -too-deestiinattionn 目标标IP:目标端端口c)课课堂案例例:案例一:DNAAT策略略应用iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j DDNATT -to-desstinnatiion 1922.1668.11.6案例二:通过DDNATT策略同同时修改改目标端端口号d)小小结 采用提提问方式式,注意意引导学学员回答答重点即即可!1. SNATT策略的的核心用用途是什什么?SNATT:修改改数据包包源地址址2. DNATT策略的的核心
10、用用途是什什么?DNATT:修改改数据包包目标地地址、目目标端口口3. SNATT、DNNAT策策略在企企业中包包括哪些些典型应应用?SNATT典型应应用 实实现局域域网用户户共享单单个公网网IP地地址接入入IntternnetDNATT典型应应用 在在Intternnet中中发布局局域网内内的应用用服务器器(如网网站、邮邮件等)4. 如果企业业的网关关主机通通过ADDSL动动态地址址接入IInteerneet网络络,应如如何设置置共享上上网策略略?公网IPP地址为为动态获获取时,建建议采用用MASSQUEERADDE策略略代替SSNATT策略,这这样无需需指定固固定的转转换IPP地址3) 使
11、用LLayeer7应应用层过过滤功能能 30分钟钟a)引引入:通通过介绍绍现有iiptaablees防火火墙体系系的不足足,引出出使用内内核及防防火墙扩扩展补丁丁的必要要性。iptaablees防火火墙是基基于内核核中的nnetffiltter机机制的,因因此增加加应用层层过滤功功能通常常需要对对内核、iiptaablees同时时打补丁丁。b)讲讲解要点点:使用Laayerr7应用用层过滤滤功能默认 nnetffiltter/ipttablles 体系的的不足:q 以基于网网络层的的数据包包过滤机机制为主主,同时时提供少少量的传传输层、数数据链路路层的过过滤功能能q 难以判断断数据包包对应于于
12、何种应应用程序序(如QQQ、MMSN)整体实现现过程:1. 添加内核核补丁,重重新编译译内核,并并以新内内核引导导系统2. 添加ipptabbless补丁,重重新编译译安装iiptaablees3. 安装l77-prrotoocolls协议议定义包包4. 使用ipptabbless命令设设置应用用层过滤滤规则重新编译译新内核核1. 释放内核核源码包包,并合合并补丁丁2. 配置内核核编译参参数:mmakee meenucconffig3. 需要配置置哪些内内核编译译参数4. 重新编译译新内核核:maake-mmakee moodulles_insstalll-maake insstalll重新编
13、译译安装iiptaablees工具具1. 先卸载原原有的iiptaablees软件件包2. 合并补丁丁,并编编译安装装新的iiptaablees工具具安装L77-prrotoocolls协议议定义包包解包后直直接执行行“makke iinsttalll”命令即即可设置应用用层过滤滤规则q 匹配格式式:-mm laayerr7 -l77prooto 协议名名q 协议定义义文件位位于:/etcc/l77-prrotoocolls/pprottocoolsq 支持以下下常见应应用层协协议的过过滤q qq:腾腾讯公司司QQ程程序的通通讯协议议q msnmmesssengger:微软公公司MSSN程序序
14、的通讯讯协议q msn-filletrranssferr:MSSN程序序的文件件传输协协议q bitttorrrentt:BTT下载类类软件使使用的通通讯协议议q xunllei:迅雷下下载工具具使用的的通讯协协议q edonnkeyy:电驴驴下载工工具使用用的通讯讯协议其他各种种应用层层协议:ftpp、htttp、ddns、iimapp、poop3q 规则示例例:过滤滤使用qqq协议议的转发发数据包包 ipttablles -A FORRWARRD -m llayeer7 -ll7prrotoo qqq -jj DRROP5.4 总结 66分钟采用提提问方式式,注意意引导学学员回答答重点即即
15、可!提问:(一) 通过SNNAT策策略实现现共享上上网应用用时,需需要将内内网访问问Intternnet数数据包的的源IPP地址修修改为哪哪个地址址?(二) 通过DNNAT策策略发布布内网服服务器时时,主要要针对访访问哪个个IP地地址的数数据包修修改其目目标地址址?(三) 重新编译译Linnux内内核时,执执行“makke mmenuuconnfigg”步骤后后建立的的配置文文件名称称是什么么(.cconffig)?六. 布布置作业业:44 分钟钟6.1本本章作业业a)课课后选择择题:P777b)课课后简答答题:PP81 题11、2、33、4、55c)抄抄写和背背诵本章章单词列列表d)完完成本
16、章章实验案案例一、案例二二6.2 作业的的提交方方式与要要求a)课课后选择择题:把把答案写写在课本本上b)课课后简答答题:作作业写在在作业本本上,下下次上课课提交c)抄抄写和背背诵本章章单词列列表:写写在作业业本上,至至少5遍遍d)完完成本章章实验案案例一和和案例二二:提交交实验报报告6.3 课后习习题答案案1. B2. D3. CD4. BD5. AC七 习题1 公司的网网关服务务器使用用了Liinuxx操作系系统。网网关上有有两块网网卡:其其中etth0连连接Innterrnett,使用用固定IIP地址址2188.299.300.311/300;etth1连连接局域域网,使使用固定定IP地
17、地址1992.1168.1.11/244,局域域网内各各主机的的默认网网关设置置为1992.1168.1.11,且已已经设置置了正确确的DNNS服务务器,现现需要在在Linnux网网关主机机中进行行正确配配置,以以使1992.1168.1.00/244网段的的局域网网用户能能够通过过共享方方式访问问Intternnet。可可以使用用( )A. iptaablees -t nnat -A POSSTROOUTIING -s 1922.1668.11.0/24 -o ethh0 -j SSNATT -to-souurcee 2118.229.330.331B. iptaablees -t nnat
18、 -A POSSTROOUTIING -s 1922.1668.11.0/24 -o ethh0 -j DDNATT -to-souurcee 2118.229.330.331C. iptaablees -t nnat -A PREEROUUTINNG -s 1192.1688.1.0/224 -o eeth00 -jj SNNAT -tto-ssourrce 2188.299.300.311D. iptaablees -t nnat -A PREEROUUTINNG -s 1192.1688.1.0/224 -o eeth00 -jj DNNAT -tto-ssourrce 2188.299
19、.300.311正确答案案:A考点:配配置SNNAT策策略实现现局域网网共享上上网 2 公司在IISP注注册了域域名wwww.bbeneet.ccom,并并对应于于Linnux网网关的外外网接口口(etth0)地地址:2218.29.30.31,公公司的网网站服务务器位于于局域网网内,IIP地址址为1992.1168.1.66,Innterrnett用户可可以通过过访问m来查看看公司的的网站内内容。可可以( )A. iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j
20、 SSNATT -to-desstinnatiion 1922.1668.11.6B. iptaablees -t nnat -A PREEROUUTINNG -i eeth00 -dd 2118.229.330.331 -p ttcp -ddporrt 880 -j DDNATT -to-desstinnatiion 1922.1668.11.6C. iptaablees -t nnat -A POSSTROOUTIING -i ethh0 -d 2218.29.30.31 -p tcpp -dpoort 80 -j DNAAT -too-deestiinattionn 1992.1168.
21、1.66D. iptaablees -t nnat -A POSSTROOUTIING -i ethh0 -d 2218.29.30.31 -p tcpp -dpoort 80 -j SNAAT -too-deestiinattionn 1992.1168.1.66正确答案案:B考点:配配置DNNAT策策略发布布内网的的应用服服务 3 在对liinuxx内核进进行重新新编译配配置时,在在字符界界面下进进入源码码目录后后,执行行什么命命令打开开配置界界面。A. makeeB. makeeconnfiggC. makee meenucconffigD. menuuconnfigg正确答案案:C考点:通通过重编编译内核核为防火火墙添加加应用层层过滤功功能