收藏
下载资源

防火墙与代理服务器.ppt

上传人:wuy****n92 文档编号:69821360 上传时间:2023-01-09 格式:PPT 页数:68 大小:670.50KB
返回 下载 相关 举报
防火墙与代理服务器.ppt_第1页
第1页 / 共68页
防火墙与代理服务器.ppt_第2页
第2页 / 共68页
点击查看更多>>
资源描述

《防火墙与代理服务器.ppt》由会员分享,可在线阅读,更多相关《防火墙与代理服务器.ppt(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、LinuxLinux网络操作系统与实训(第网络操作系统与实训(第2 2版)版)中国铁道出版社中国铁道出版社孙丽娜 孔令宏 杨 云 主编李 斌 姜庆玲 梁明亮 副主编教材地址:教材地址:Windows&Linux教教师交流群:交流群:189934741第第1515章章 防火墙与代理服务器防火墙与代理服务器 1.项目课题引入 2.防火墙概述 3.iptables 4.NAT 5.squid代理服务器课题引入课题引入项目背景项目背景l假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网,IP地址为;eth1接口连接内网,IP地址为。假设在内网中存在WEB、D

2、NS和E-mail3台服务器,这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护,并允许外网的用户可以访问此3台服务器。课题引入课题引入项目分析项目分析l完成本项目需要解决的问题:1、什么是防火墙,其工作原理是什么2、如何使用Iptables进行防火墙设置3、如何配置包过滤防火墙4、如何实现NAT5、什么是代理服务器,其工作原理是什么6、squid代理服务器的安装、启动与运行方法7、squid服务器的配置方法8、透明代理的配置方法课题引入课题引入教学目标教学目标l学习本课需要实现的教学目标:掌握防火墙的概念和工作原理掌握Iptables的结构和配置方法掌握包

3、过滤防火墙的配置方法掌握NAT的配置方法掌握代理服务器的工作原理掌握代理服务器的启动与停止方法掌握代理服务器配置文件的修改方法掌握代理服务器的配置方法掌握透明代理的配置方法课题引入课题引入应达到的职业能力应达到的职业能力l学生学习本课后应该具有的职业能力:掌握为企业设计防火墙的能力掌握Linux下Iptables的配置方法掌握包过滤防火墙的配置能力掌握NAT的配置能力进行squid代理服务器的配置能力进行透明代理服务器的配置能力具有较好的团队合作能力15.1 15.1 防火墙概述防火墙概述15.1.1 防火墙的概念防火墙的概念15.1 15.1 防火墙概述防火墙概述15.1.2 iptable

4、s简介简介15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理netfilter的5条链相互地关联,如图15-1所示。15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.2 iptables工

5、作原理15.2 iptables15.2 iptables15.2.2 iptables工作原理2iptables工作流程工作流程15.2 iptables15.2 iptables15.2.2 iptables工作原理15.2 iptables15.2 iptables15.2.3 安装iptables15.2 iptables15.2 iptables15.2.3 安装iptables15.2.4 iptables命令15.2 iptables15.2 iptables15.2 iptables15.2 iptables15.2.4 iptables命令15.2 iptables15.2

6、iptables15.2.4 iptables命令15.2 iptables15.2 iptables15.2.4 iptables命令15.2 iptables15.2 iptables15.2.4 iptables命令15.2 iptables15.2 iptables15.2.5 iptables命令使用举例命令使用举例15.2 iptables15.2 iptables15.2.5 iptables命令使用举例命令使用举例15.2 iptables15.2 iptables15.2.5 iptables命令使用举例命令使用举例15.2 iptables15.2 iptables15.2

7、.5 iptables命令使用举例命令使用举例15.2 iptables15.2 iptables15.2.5 iptables命令使用举例命令使用举例15.3 NAT15.3 NAT15.3.1 NAT的基本知识的基本知识NAT的工作过程:(1)客户机将数据包发给运行NAT的计算机。(2)NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息。(3)外部网络发送回答信息给NAT。(4)NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转

8、发给客户机。15.3 NAT15.3 NAT15.3.1 NAT的基本知识的基本知识NAT的工作过程示意图:15.3 NAT15.3 NAT15.3.1 NAT的基本知识的基本知识NAT的分类:(1)源NAT(Source NAT,SNAT)。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装(MASQUERADE)就是SNAT的一种特殊形式。(2)目的NAT(Destination NAT,DNAT)。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡

9、和透明代理均属于DNAT。15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT用户根据规则所处理的信息包类型,使用iptables命令设置NAT规则:要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。直接从本地出去的数据包的规则被添加到OUTPUT链中。15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT数据包穿越NAT的工作流程示意图:15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT【例15-10】假设某企业网中NAT服务器安装了双

10、网卡,eth0连接外网,eth1连接内网,IP地址为。企业内部网络的客户机都只有私有IP地址。利用NAT服务使企业内部网络的计算机能够连接Internet网络。15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT假设eth0的IP地址是静态分配的。公网IP地址池为222.206.160.100-222.206.160.150。此时应作SNAT,iptables命令的-j参数的语法格式为:-j SNAT -to-source/-to IP1-IP2:port1-port2 配置步骤:打开Linux的内核转发功能。rootServer#echo“1”/proc/sys/ne

11、t/ipv4/ip_forward 实现SNAT。rootServer#iptables t nat A POSTROUTING p tcp o eth0 j SNAT-to 222.206.160.100-222.206.160.150:1025:30000 15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT假设连接外网的接口是利用ADSL拨号连接的ppp0。此时应作IP伪装,iptables命令的-j参数的语法格式为:-j MASQUERADE 配置步骤:打开Linux的内核转发功能。rootServer#echo“1”/proc/sys/net/ipv4/ip_

12、forward 实现IP伪装。rootServer#iptables t nat A POSTROUTING o ppp0 -j MASQUERADE 15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT【例15-11】假设某企业网中NAT服务器安装了双网卡,eth0连接外网,IP地址为。eth1连接内网,IP地址为。企业内部网络WEB服务器的IP地址为。要求当Internet网络中的用户在浏览器中输入时可以访问到内网的WEB服务器。15.3 NAT15.3 NAT15.3.2 使用Iptables实现NAT根据题目要求可知,此时应作DNAT。iptables命令的-j

13、参数的语法格式为:-j DNAT -to-destination/-to IP1-IP2:port1-port2 实现DNAT的配置语句:#iptables t nat A PREROUTING p tcp d 222.206.160.100-dport 80 j DNAT-to 192.168.1.2:80或者:#iptables t nat A PREROUTING p tcp i eth0-dport 80 j DNAT-to 192.168.1.2:80 15.4 squid15.4 squid代理服务器代理服务器15.4.1 代理服务器的工作原理代理服务器的工作原理15.4 squi

14、d15.4 squid代理服务器代理服务器15.4.1 代理服务器的工作原理代理服务器的工作原理15.4 squid15.4 squid代理服务器代理服务器15.4.2 代理服务器的代理服务器的作用作用(1)提高访问速度。(2)用户访问限制。(3)安全性得到提高。15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停

15、止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.3 安装、启动与停止安装、启动与停止Squid服务服务15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器1几个常用的选项 (1)http_port 3128。http_port 192.168.2.254:8080(2)cache_mem 512MB。内存缓冲设置是指需要使用多少内存来作为高速缓存。(3)cache_dir ufs /var/spool/squid 4096 16 256。用于指定硬盘缓冲区的大小。(4)cache_ef

16、fective_user squid。设置使用缓存的有效用户。cache_effective_user nobody(5)cache_effective_group squid。设置使用缓存的有效用户组,默认为squid组,也可更改。15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器1几个常用的选项(6)。设置有效的DNS服务器的地址。(7)cache_access_log /var/log/squid/access.log。设置访问记录的日志文件。(8)cache_log/var/log/squid/cache.log。设置缓存日志文件。

17、该文件记录缓存的相关信息。(9)cache_store_log/var/log/squid/store.log。设置网页缓存日志文件。网页缓存日志记录了缓存中存储对象的相关信息,例如存储对象的大小、存储时间、过期时间等。15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器1几个常用的选项(10)。visible_hostname字段用来帮助Squid得知当前的主机名,如果不设置此项,在启动Squid的时候就会碰到“FATAL:Could not determine fully qualified hostnamePlease set visi

18、ble hostname”这样的提示。当访问发生错误时,该选项的值会出现在客户端错误提示网页中。(11)。设置管理员的邮件地址。当客户端出现错误时,该邮件地址会出现在网页提示中,这样用户就可以写信给管理员来告知发生的事情。15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器2设置访问控制列表15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务

19、器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.5 配置透明代理配置透明代理15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.6 squid服务器配置实例服务器配置实例15.4 squid1

20、5.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器15.4 squid15.4 squid代理服务器代理服务器15.4.4 配置配置squid服务器服务器总结总结l 本项目的解决方案:l/1.清空所有的链规则lrootServer#iptables -Fl

21、/2.禁止iptables防火墙转发任何数据包lrootServer#iptables -P FORWARD DROPl/3.建立来自Internet网络的数据包的过滤规则l#iptables-A FORWARD p tcp d 222.206.100.2 p tcp -dport 80 -i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.3 -p tcp -dport 53 -i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.4 -p tcp -dport 25 -

22、i eth0 -j ACCEPTl#iptables-A FORWARD p tcp d 222.206.100.4 -p tcp -dport 110 -i eth0 -j ACCEPTl/4.接受来自内网的数据包通过lrootServer#iptables -A FORWARD s 222.206.100.0/24 j ACCEPTl/5.对于所有的ICMP数据包进行限制,允许每秒通过一个数据包,该限制的触发条件是10个包lrootServer#iptables-A FORWARD-p icmp-m limit-limit 1/s-limit-burst 10-j ACCEPT作业作业1

23、1l根据如下防火墙配置的需求,写出配置命令:设置filter表中3个链的默认策略为拒绝查看所有链的规则列表添加一个用户自定义的链custom1向filter表的INPUT链的最后添加一条规则,对来自这台主机的数据包丢弃向filter表中的INPUT链的第3条规则前面插入一条规则,允许来自于非网段的主机对本机的25端口的访问作业作业2 2lJohn计划在他的局域网建立防火墙,防止Internet直接进入局域网,反之亦然。在防火墙上他不能用包过滤或SOCKS程序.而且他想要提供给局域网用户仅有的几个Internet服务和协议,请选择合适的防火墙,并写出配置过程l假设要控制来自IP地址的ping命令,请写出iptables命令l如果想要防止网络用TCP分组连接端口21,请写出iptables命令本章小结本章小结v防火墙的分类及工作原理vIptables防火墙的配置vNATvSQUID代理服务器的配置v透明代理的实现v一、录像位置一、录像位置v二、项目实训目的二、项目实训目的v能熟练完成利用Iptables架设企业NAT服务器。v能熟练完成企业Squid代理服务器的架设与维护。v三、教材网站三、教材网站项目实录项目实录

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 大学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁