《第16章 Linux防火墙与NAT服务配置.ppt》由会员分享,可在线阅读,更多相关《第16章 Linux防火墙与NAT服务配置.ppt(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第16章章Linux防火墙与防火墙与NAT服务配置服务配置 本章介绍iptables的基本概念和基本功能,以及使用iptables架设包过滤防火墙和NAT服务的方法。学完本章后,你将能够:v描述Linux防火墙的基本概念和功能v使用iptables配置包过滤防火墙v使用iptables配置NAT服务16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.1.1 防火墙简介1.防火墙的功能 防火墙是位于不同网络(如可信的企业内部网和不可信的公共网)或网络安全域之间,对网络进行隔离并实现有条件通信的一系列软件硬件设备的集合。它通过访问控
2、制机制确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。防火墙系统可以由一台路由器,也可以由一台或一组主机组成。它通常被放置在网络入口处,所有内外部网络通信数据包都必须经过防火墙,接受防火墙的检查,只有符合安全规则的数据才允许通过。通过使用防火墙可以实现以下功能:v保护内部网络中易受攻击的服务。v控制内外网之间网络系统的访问。v隐藏内部网络的IP地址及结构的细节,提高网络的保密性。v对网络存取和访问进行监控和审计。v集中管理内网的安全性,降低管理成本。2.防火墙的类型 根据动作方式的不同,通常把防火墙分为包过滤型和应用级网关两大类。包过滤防火墙(Packet Filter)应
3、用级网关(Application-level Gateway)16.1.2 Linux包过滤防火墙的架构 iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段:v在1.1内核中,采用ipfw来操作内核包过滤规则。v在2.0内核中,采用ipfwadm来操作内核包过滤规则。v在2.2内核中,采用ipchains来控制内核包过滤规则。v在2.4内核中(如Red Hat 9.0、RHEL),采用一个全新的内核包过滤管理工具iptables。iptables只是防火墙与用户之间的接口,真正起到防火墙作用的是Linux内核中运行的netfilter。Linux平台
4、下的包过滤防火墙由netfilter组件和iptables组件组成,其中netfilter运行在内核态,而iptables运行在用户态,用户通过iptables命令来调用netfilter来实现防火墙的功能。vnetfilter组件viptables组件 16.1.3 Linux防火墙的安装、启动与关闭 iptables防火墙内置于RHEL 4 AS系统内核中,所以它是随系统的安装而自动安装的。可使用以下命令检查是否已安装:rootrhel4#rpm -q iptablesiptables-1.2.11-3.1.RHEL4 安装RHEL 4 AS时系统会提示是否开启防火墙,默认情况下将开启防火
5、墙。由于系统的防火墙功能是使用iptables实现的,因此系统会根据用户的设置在iptables中添加相应的规则。如果在安装时选择禁用防火墙,则在安装完成后可在终端命令窗口中执行“setup”命令手工开启 完成以上配置后,可在终端命令窗口中执行如下命令启动iptables防火墙:rootrhel4#service iptables start 清除防火墙规则:确定 把 chains 设置为 ACCEPT 策略:filter 确定 正在卸载 Iiptables 模块:确定 应用 iptables 防火墙规则:确定 将上述命令中的“start”参数变换为“stop”、start”“status”可
6、以分别实现iptables防火墙的关闭、重启和状态的查看。16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.2.1 iptables的基本概念v规则 规则(rules)就是网络管理员预先定义的条件,每条规则的定义方式一般是“如果封包符合这样的条件就这样处理该数据包”。v链 链(chains)是数据包传输的路径,每一条链中可以有一条或数条规则。v表 iptables内置了filter表、nat表和mangle表用于实现包过滤、网络地址转换和包重构的功能。16.2.2 iptables数据包传输的过程16.2.3 激活IP包转发功能
7、 如果要把Linux配置成网关防火墙,内核必须打开IP包转发功能(即路由功能),这样一个数据包才能被送到FORWARD链进行规则检查,否则与防火墙相连的两边的网络是完全隔离的。打开Linux内核包转发功能,可使用以下命令来实现 rootrhel4#echo“1”/proc/sys/net/ipv4/ip_forward 上述命令只是一次性有效,为了让主机每次开机后都自动激活IP数据包转发功能,可以采用编辑配置文件/etc/sysctl.conf的方法,将其中的语句:net.ipv4.ip_forward=0 更改为net.ipv4.ip_forward=1执行如下命令:rootrhel4#sy
8、sctl -p即可让系统启动后自动打开内核的包转发功能。上述操作也可以通过执行下列命令来实现相应功能:rootrhel4#sysctl -w net.ipv4.ip_forward=”1”rootrhel4#sysctl -p还可以/etc/sysconfig/network配置文件中,通过以下配置项来开启内核的包转发功能:FORWARD_IPV4true16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.3.1 iptables的命令格式 iptables用于创建、维护和检查Linux内核的IP包过滤规则,利用该命令可创建、删除
9、或更名链,在链中创建或删除规则,设置链的策略等,功能很强大,用法也比较多,其命令基本格式为:iptables -t 表名 命令选项 链 匹配选项 操作选项 1表名选项 “-t表名”用来选择要操作的表,表名可以是 filter,nat,mangle三者之一,如该参数缺省则默认为filter表;2命令选项 命令选项用来指定对链或规则的操作,包括插入、删除、添加规则等。iptables 的主要命令选项 3链名选项 “链”指定要操作的链名,各种表中所包含的链名如16.2.1所述。除使用系统定义的链名外,用户也可自定义链名。4匹配选项 匹配选项指定数据包与规则匹配所应具有的特征,包括源地址、目的地址、传
10、输协议和端口号等。iptables的主要匹配选项 5操作选项 操作选项用于指定对匹配过滤规则的数据包所进行的处理。其形式为“-j target/jump”,其中“target”是对包的处理动作,“jump”代表一个用户自定义的链名,用于跳转到该链进行规则检查。iptables的主要目标动作选项 16.3.2 iptables命令的使用命令的使用1对链的操作 (1)查看链 命令用法:iptables -L 链命令功能:列出指定表的全部链及其规则例【16-1】列出filter表的全部规则链。rootrhel4#iptables -L 若要列出nat表的全部规则链,则操作命令为:rootrhel4#
11、iptables -t nat -L (2)创建新链命令用法:iptables -N 链名命令功能:以指定的名称创建一个新链例【16-2】创建一个名为mychain的新链。rootrhel4#iptables -Nmychain(3)删除链 命令用法:iptables -X 链名 命令功能:删除指定的用户自定义链 例【16-3】删除新建的mychain链。rootrhel4#iptables -Xmychain(2)插入规则 命令用法:iptables-t 表名 -I 链名规则号匹配选项-j动作 命令功能:在指定的规则号的前面插入一条规则,原规则将自动后移。若未指定规则号,则默认为1,即插入在
12、所有规则的前面。例【16-5】在第3条规则前插入一条规则,其内容是禁止192.168.2.0子网段的所有用户访问本机TCP协议的80端口。rootrhel4#iptables-I INPUT 3-s 192.168.2.0/24-p tcp-dport 80 j DROProotrhel4#iptables-L INPUT例【16-6】在第4条规则前插入一条规则,拒绝所有主机PING本机。rootrhel4#iptables I INPUT 4 s 0/0p icmp -icmp-type echo-request j DROProotrhel4#iptables-L INPUTChain I
13、NPUT(policy ACCEPT)target prot opt source destinationRH-Firewall-1-INPUT all -anywhere anywhereDROP all -192.168.1.1 anywhereDROP tcp -192.168.2.0/24 anywhere tcp dpt:httpDROP icmp-anywhere anywhere icmp echo-requestACCEPT all -192.168.1.1 anywhere 在该命令中,“-s 0/0”用于指定源地址为所有主机,“-icmp-type”用于指定icmp包的类型
14、,“echo-request”代表ping包。(3)替换规则 命令用法:iptables-t 表名 -R 链名规则号匹配选项-j动作 命令功能:将指定编号的规则替换为新的规则。例【16-7】将例【16-5】中的第3条规则替换为允许192.168.2.0子网段的所有用户访问本机TCP协议的80端口。rootrhel4#iptables-I INPUT 3-s 192.168.2.0/24-p tcp-dport 80 j ACCEPTrootrhel4#iptables-L INPUT(4)删除规则 命令用法:iptables-t 表名 -D 链名匹配选项-j动作 或:iptables-t 表名
15、 -D 链名规则号 命令功能:删除指定的规则或指定编号的规则 例【16-8】删除例【16-7】中被替换的第3条规则。rootrhel4#iptables-D INPUT-s 192.168.2.0/24-p tcp-dport 80-jACCEPT或:rootrhel4#iptables-D INPUT 3(5)设置链的默认策略 命令用法:iptables -t 表名 -P 链名 目标动作 命令功能:定义指定链的默认策略,即设置所有过滤规则都不满足的数据包的默认处理方式。例【16-9】将INPUT、FORWARD和OUTPUT链的默认策略设置为ACCEPT。rootrhel4#iptables
16、-P INPUT ACCEPT rootrhel4#iptables-P FORWARD ACCEPT rootrhel4#iptables-P OUTPUT ACCEPT(6)清除规则链中的所有规则 在新建规则时往往需要清除原有的规则,以免它们影响新设定的规则。如果规则比较多,一条条删除就会十分麻烦这时可以使用iptables提供的清除规则选项达到快速删除所有规则的目的。命令用法:iptables -t 表名 -F 链名 命令功能:删除指定链中的全部规则,若未指定链,则删除表中所有链中的规则。例【16-10】清除filter表中INPUT链中的全部规则。rootrhel4#iptables-
17、F INPUT(7)归零包计数器 命令用法:iptables -t 表名 -Z 命令功能:将指定表中的包计数器和流量计数器清零,如不指定表,则默认为filter表。例【16-11】将filter表中的所有包计数器清零。rootrhel4#iptables -Z 若要将nat表中的所有包计数器清零,则实现命令为:rootrhel4#iptables -t nat -Z3保存与恢复过滤规则 用上述方法所建立的规则会被保存到内核中,在重启系统时,会丢失这些规则。所以如果用户将没有错误且有效的规则集添加到数据包过滤表,则时希望在重启系统之后再次使用这些规则,必须将该规则集保存在文件中。其命令为:roo
18、trhel4#iptables-save /etc/sysconfig/iptables 将数据包过滤表中的所有规则保存到/etc/sysconfig/iptables脚本文件中以后,无论何时重启系统,都可以使用iptables-restore命令将规则集从该脚本文件恢复到数据包过滤表。其命令为:rootrhel4#iptables-restore /etc/sysconfig/iptables 如果用户希望在每次启动系统时自动恢复该规则集,可以将上面指定的这条命令放到任何一个初始化shell脚本中,或如下的命令来保存规则:rootrhel4#service iptables save16.3
19、.3 防火墙配置实例iptables配置包过滤防火墙的方法与步骤 1安装RHEL 4 AS服务器2编辑防火墙脚本firewall.sh 3设置脚本具有可执行权限,并执行脚本使配置生效4保存防火墙规则16.1 Linux防火墙概述16.2 iptables简介16.3 iptables的使用16.4NAT服务16.4.1 NAT服务概述1什么是NAT NAT(Network Address Translation,网络地址转换)是一个根据RFC1631开发的IETF标准。NAT就是用来将IP报文头中的目的或源私有地址修改成公有地址的一种设备,利用NAT可实现私有地址与公网地址的相互转换。它还可以
20、和防火墙技术结合使用,将特定的IP地址隐藏起来使外部网络无法直接访问内部网络的特定主机。2NAT的工作原理NATSA:192.168.1.2SP:1029DA:202.205.11.70DP:80SA:202.205.11.70SP:80DA:192.168.1.2DP:1029SA:202.205.11.70SP:80DA:210.29.160.120DP:1029SA:210.29.160.120SP:1029DA:202.205.11.70DP:80eth0:192.168.1.1eth1:210.29.160.120Web服务器202.205.11.70客户机192.168.1.23N
21、AT的类型(1)静态SNAT(Static NAT):SNAT使用一个静态的IP地址映射表来替换修改数据包的源地址或源端口。(2)网络地址端口转换DNAT(Destination-NAT):也称为反向NAT,它会替换修改经过NAT网关的IP数据包的目的IP地址或端口。(3)动态地址NAT(Pooled NAT):使用动态的IP地址映射表来改变数据的源地址或端口。16.4.2 使用iptables实现NAT服务1.利用iptables实现SNAT示例 eth1:58.221.242.110eth0:192.168.1.1内网主机Internet192.168.1.0/24NAT网关服务器实现NA
22、T转换及防火墙功能的方法与步骤如下:1.配置RHEL 4 AS的内外网网卡。2.编写脚本snat.sh。3.设置脚本snat.sh具有可执行权限,并执行该脚本,使配置生效。4.测试SNAT的功能。2利用iptables实现DNAT示例 eth1:58.221.242.110eth0:192.168.1.1内网主机Internet192.168.1.0/24NAT网关服务器配置方法与步骤如下:1.配置RHEL 4 AS的内外网网卡。2.编写脚本snat.sh。3.设置脚本snat.sh具有可执行权限,并执行该脚本,使配置生效。4.测试DNAT的功能。本章小结 防火墙是位于不同网络(如可信的企业内
23、部网和不可信的公共网)或网络安全域之间,对网络进行隔离并实现有条件通信的一系列软件硬件设备的集合。其基本功能是分析出入防火墙的数据包,根据IP包头结合防火墙的规则,来决定是否接受或允许数据包通过。根据动作方式的不同,通常把防火墙分为包过滤型和应用级网关两大类。Linux平台下的包过滤防火墙由netfilter组件和iptables组件组成,其中netfilter运行在内核态,而iptables运行在用户态,用户通过iptables命令来调用netfilter来实现防火墙的功能,iptables内置了3个表(tables),即filter表、nat表和mangle表,分别用于实现包过滤、网络地址转换和包重构的功能。每张表中包含若干个链,而每个链由若干条规则组成,配置防火墙的主要工作就是添加、修改和删除这些规则。利用iptables可以配置包过滤防火墙,还可以配置NAT服务。