《linux网络管理员实用教程第14章_iptables防火墙.ppt》由会员分享,可在线阅读,更多相关《linux网络管理员实用教程第14章_iptables防火墙.ppt(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Linux 网络管理员实用教程(第2版)第第1414章章iptablesiptables防火墙防火墙Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙214.1 iptables 14.1 iptables 简介 简介netfilter/iptables(其中包括netfilter 和iptables 两个组件)组成了Linux 平台下的包过滤防火墙,它与大多数的Linux 自带软件一样,这个防火墙是免费提供的,它可以代替昂贵的企业级防火墙来解决实际问题与实际方案,完成封包过滤,封包重定向和网络地址转换等功能。iptables
2、并不是最早出现的防火墙软件,它的前身是ipchains。随着发展到内核以后,ipchains 逐渐被功能更加强大的iptables 所代替。iptables 可以检查数据包的源和目的IP 地址,源和目的端口,流入数据包的顺序号,TCP先后顺序的信息以及包头标记(SYN、ACK、FIN、RST等)的状态。iptables 会跟踪整个会话过程,从而提高安全性和包过滤的效率。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙314.2 iptables 14.2 iptables 工作原理 工作原理数据包从外网传送到防火墙后,防火墙抢
3、在IP 层向TCP层传送之前,将数据包转发给检查模块进行处理。其过程如下。1)首先与第一个过滤规则比较。2)如果与第一个模块相同,则对它进行审核,判断是否要转发该数据包,这时审核的结果是转发数据包,则将数据包发送到TCP层进行处理,否则就将它丢弃。3)如果与第一个过滤规则不同,则接着与第二个规则相比较,如果相同则对它进行审核,过程与上一步相同。4)如果与第二个过滤规则不同,则继续与下一个过滤规则比较,直到与所有的过滤规则比较完成。要是不满足所有过滤规则,就将数据丢弃。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙414.2
4、iptables 14.2 iptables 工作原理 工作原理包检查器并不检查数据包的所有内容,它通常只检查下列几项:Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙514.2 iptables 14.2 iptables 工作原理 工作原理iptables 的工作原理如图 Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙614.3 14.3 项目说明与项目要求 项目说明与项目要求1.项目说明防火墙在一个安全的网络组成当中是不可以缺少的,但是考虑到成本、对协
5、议的支持等因素,通常采用iptables 作为防火墙。主要意图是让它强制执行安全策略,使得网络周围能够创建一个安全的边界。2.项目要求配置一台运行Linux 的服务器,其地址是,子网掩码是,默认网关是。客户机用Windows 进行测试,如图所示。要求源地址是的客户机都禁止访问这台Linux 服务器的Web 服务。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙714.4 14.4 配置步骤说明 配置步骤说明 1)网络参数设置。2)查看是否安装了iptables。3)启动Apache 服务(其默认端口是80)。4)编写脚本。5)
6、启动iptables 服务并运行脚本。配置流程如图所示:Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙814.5 14.5 配置过程 配置过程步骤1:设置服务器的IP 地址为,并关闭防火墙(参照第7 章相关内容)。步骤2:查看是否安装iptables。打开终端,在终端输入命令:rootlocalhost root#rpm-q iptables出现如图所示的iptables 版本信息,说明已安装了iptables 服务器。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火
7、墙 防火墙914.5 14.5 配置过程 配置过程步骤3:启动Apache 服务。1)在终端输入命令“service d start”,启动Apache 服务器。rootlocalhost root#service d start2)用Windows 2000 客户机测试,具体步骤如下。Windows 2000 客户机的IP 地址为,子网掩码为。在Windows 2000 中打开IE,在地址栏中输入:/192.168.0.5:80,如图示。如出现图中的内容,则说明80 端口已打开。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火
8、墙1014.5 14.5 配置过程 配置过程步骤4:编写脚本。打开终端,在终端输入“”。#!/bin/shtouch/var/lock/subsys/localiptables F#清除预设表 filter 中,所有规则链中的规则iptables X#清除预设表 filter 中,使用者自订链中的规则iptables A INPUT j DROP#禁止IP 地址为这个网段的主机连接Linux 的80 端口步骤5:启动iptables 服务及运行脚本。在终端输入命令service iptables start,启动iptables,然后在终端输入命令.“”,运行脚本中写的规则。rootlocal
9、host root#service iptables startrootlocalhost root#.Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙1114.6 14.6 测试 测试用同一台客户机再次测试,打开IE,在地址栏中输入:/192.168.0.5:80,如图所示。图中出现“该页无法显示”信息,说明已禁止网段的客户机访问Linux 的80 端口。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙1214.7 14.7 命令与参数 命令与参数1-A例子
10、:iptables-A INPUT 解释:在所选择的链末添加规则。当源地址或目的地址是以名字而不是ip地址的形式出现时,若这些名字可以被解析为多个地址,则这条规则会和所有可用的地址结合。2-p例子:iptables-p tcp解释:数据包分为tcp 的进行判断(包一般分为tcp、udp 及icmp 封装)。3-s例子:解释:与所有来自这一IP 地址的信息包进行匹配。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙1314.7 14.7 命令与参数 命令与参数4 A CCEPT例子:iptables-j ACCEPT解释:当信息
11、包与具有ACCEPT 目标的规则完全匹配时候,会被接受。5 DROP例子:iptables-j DROP解释:当信息包与具有ACCEPT 目标的规则完全匹配时候,会被拒绝。6-dport例子:iptables-dport 80解释:与所有来自的信息包进行80 端口匹配。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙1414.8 14.8 思考 思考1 要求在项目的基础上,再增加部分要求。只允许的IP 地址访问服务器的80 端口。2 提示只要在文件中修改:iptables A INPUT p tcp-s 192.168.0.58-dport 80 j ACCEPTLinux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙15思考与实验 思考与实验1 接受这个网段的所有ip 访问,禁止其他未允许的IP 访问Linux 的80 端口。2 禁止所有IP 访问Linux 80 端口。3 记录下来访问Linux 80 端口的日志。Linux 网络管理员实用教程(第2版)第 第14 14 章 章 iptables iptables 防火墙 防火墙16谢谢!谢谢!