linux系統(tǒng)管理-安全securitychap

BENET3.0第二學(xué)期課程第三章配置IPTABLES防火墻（二）——理論部分2課程回顧iptables與netfilter的作用及區(qū)別是什么？iptables命令的語法格式包括哪些組成部分？若設(shè)置iptables規(guī)則時未指定表名，默認使用哪個表？設(shè)置顯式匹配條件時，需要注意什么？防火墻對數(shù)據(jù)包的常見處理方式包括哪些？3技能展示會使用SNAT策略配置共享上網(wǎng)會使用DNAT策略發(fā)布企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)會為Linux防火墻增加應(yīng)用層過濾功能4本章結(jié)構(gòu)SNAT策略及應(yīng)用SNAT策略概述重新編譯安裝內(nèi)核SNAT策略的應(yīng)用重新編譯安裝iptables配置iptables防火墻（二）DNAT策略及應(yīng)用使用layer7應(yīng)用層過濾功能DNAT策略概述DNAT策略的應(yīng)用設(shè)置應(yīng)用層過濾規(guī)則5SNAT策略概述SNAT策略的典型應(yīng)用環(huán)境局域網(wǎng)主機共享單個公網(wǎng)IP地址接入InternetSNAT策略的原理源地址轉(zhuǎn)換，SourceNetworkAddressTranslation修改數(shù)據(jù)包的源IP地址6SNAT策略的應(yīng)用環(huán)境Internet局域網(wǎng)PC機00/24

9eth1:/24eth0:1/30Linux網(wǎng)關(guān)服務(wù)器7SNAT策略的原理未使用SNAT策略時的情況源地址：00

目標地址：9HTTP請求HTTP請求HTTP應(yīng)答源地址：00

目標地址：9源地址：9

目標地址：00Linux網(wǎng)關(guān)服務(wù)器

eth1：

eth0：1Internet中的Web服務(wù)器

9無法正確路由路

由

轉(zhuǎn)

發(fā)局域網(wǎng)客戶端

008SNAT策略的原理在網(wǎng)關(guān)中使用SNAT策略以后源地址：00

目標地址：9HTTP請求HTTP應(yīng)答源地址：1

目標地址：9源地址：9

目標地址：1Linux網(wǎng)關(guān)服務(wù)器

eth1：

eth0：1Internet中的Web服務(wù)器

9SNAT

轉(zhuǎn)換局域網(wǎng)客戶端

00源地址：9

目標地址：00HTTP請求9SNAT策略的應(yīng)用SNAT的應(yīng)用案例Internet局域網(wǎng)PC機00/24

9/30eth1:/24eth0:1/30Linux網(wǎng)關(guān)服務(wù)器10SNAT策略的應(yīng)用前提條件局域網(wǎng)各主機正確設(shè)置IP地址/子網(wǎng)掩碼局域網(wǎng)各主機正確設(shè)置默認網(wǎng)關(guān)地址推薦實現(xiàn)步驟1.開啟網(wǎng)關(guān)主機的路由轉(zhuǎn)發(fā)功能2.添加使用SNAT策略的防火墻規(guī)則規(guī)則示例：iptables-tnat-APOSTROUTING-s/24

-oeth0-jSNAT--to-source1來自特定局域網(wǎng)段的數(shù)據(jù)包網(wǎng)關(guān)主機外網(wǎng)接口的IP地址需要從接口eth0外出的數(shù)據(jù)包在路由選擇之后再進行處理11SNAT策略的應(yīng)用驗證SNAT結(jié)果在局域網(wǎng)主機中（00）應(yīng)能夠訪問外網(wǎng)的Web服務(wù)器（9）命令行執(zhí)行“elinks”進行訪問查看外網(wǎng)測試主機（9）的Web訪問日志，記錄的應(yīng)為網(wǎng)關(guān)主機的公網(wǎng)IP地址(1)[root@localhost~]#tail-f/var/log/httpd/access_log1--[04/Jun/2009:14:02:02]"GET/HTTP/1.1"4033985"-""ELinks/0.11.1(textmode;Linux;80x25-2)"教員演示操作過程12網(wǎng)關(guān)使用動態(tài)公網(wǎng)IP地址的情況MASQUERADE（地址偽裝）策略只需將“-jSNAT--to-source1”的形式改為“-jMASQUERADE”即可如果是通過ADSL撥號方式連接Internet，則外網(wǎng)接口名稱通常為ppp0、ppp1等MASQUERADE策略應(yīng)用示例[root@localhost~]#iptables-tnat-APOSTROUTING-s/24-oppp0-jMASQUERADE13DNAT策略概述DNAT策略的典型應(yīng)用環(huán)境在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務(wù)器DNAT策略的原理目標地址轉(zhuǎn)換，DestinationNetworkAddressTranslation修改數(shù)據(jù)包的目標IP地址14DNAT策略的應(yīng)用環(huán)境Interneteth1:/24

eth0:1/30網(wǎng)站服務(wù)器/24Linux網(wǎng)關(guān)服務(wù)器Internet中的客戶機

915DNAT策略的原理在網(wǎng)關(guān)中使用DNAT策略發(fā)布內(nèi)網(wǎng)服務(wù)器源地址：9

目標地址：1HTTP請求Internet中的客戶機

9Linux網(wǎng)關(guān)服務(wù)器

eth0：1

eth1：局域網(wǎng)內(nèi)的Web服務(wù)器

HTTP應(yīng)答源地址：1

目標地址：9DNAT

轉(zhuǎn)換HTTP請求HTTP應(yīng)答源地址：9

目標地址：源地址：

目標地址：916DNAT策略的應(yīng)用DNAT的應(yīng)用案例Interneteth1:/24

eth0:1/30網(wǎng)站服務(wù)器/24Linux網(wǎng)關(guān)服務(wù)器Internet中的客戶機

917DNAT策略的應(yīng)用前提條件局域網(wǎng)的Web服務(wù)器正確設(shè)置了IP地址/子網(wǎng)掩碼局域網(wǎng)的Web服務(wù)器正確設(shè)置了默認網(wǎng)關(guān)地址推薦實現(xiàn)步驟1.確認已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能2.添加使用DNAT策略的防火墻規(guī)則規(guī)則示例：iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport80-jDNAT--to-destination訪問網(wǎng)關(guān)的公網(wǎng)IP地址的數(shù)據(jù)包內(nèi)網(wǎng)中Web服務(wù)器的實際IP地址從外網(wǎng)接口eth0進入的數(shù)據(jù)包在路由選擇之前進行處理訪問標準Web服務(wù)端口的數(shù)據(jù)包18DNAT策略的應(yīng)用驗證DNAT結(jié)果在外網(wǎng)測試機（9）中，應(yīng)能夠通過瀏覽器訪問網(wǎng)關(guān)公網(wǎng)IP地址（1）的80端口命令行執(zhí)行“elinks”進行訪問——實際網(wǎng)頁內(nèi)容由主機提供查看局域網(wǎng)內(nèi)Web服務(wù)器（）的Web訪問日志，應(yīng)記錄了外網(wǎng)測試機的IP地址(9)[root@localhost~]#tail-f/var/log/httpd/access_log9--[04/Jun/2009:14:35:53]"GET/HTTP/1.1"20015"-""ELinks/0.11.1(textmode;Linux;80x25-2)"教員演示操作過程19通過DNAT策略同時修改目標端口號使用形式只需要在“--to-destination”后的目標IP地址后面增加“:端口號”即可，即：

-jDNAT--to-destination目標IP:目標端口通過DNAT策略修改目標端口號的應(yīng)用示例從Internet中訪問網(wǎng)關(guān)主機（1）的2222端口時，實際由運行在局域網(wǎng)主機（）的22端口的應(yīng)用程序提供服務(wù)[root@localhost~]#iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport2222-jDNAT--to-destination:2220小結(jié)請思考：SNAT策略的核心用途是什么？DNAT策略的核心用途是什么？SNAT、DNAT策略在企業(yè)中包括哪些典型應(yīng)用？如果企業(yè)的網(wǎng)關(guān)主機通過ADSL動態(tài)地址接入Internet網(wǎng)絡(luò)，應(yīng)如何設(shè)置共享上網(wǎng)策略？21使用layer7應(yīng)用層過濾功能默認netfilter/iptables體系的不足以基于網(wǎng)絡(luò)層的數(shù)據(jù)包過濾機制為主，同時提供少量的傳輸層、數(shù)據(jù)鏈路層的過濾功能難以判斷數(shù)據(jù)包對應(yīng)于何種應(yīng)用程序（如QQ、MSN）netfilter-layer7補丁包的作用由“L7-filter”項目提供源碼站點位于通過為Linux內(nèi)核、iptables添加相應(yīng)的補丁文件，重新編譯安裝后提供基于應(yīng)用層（第7層）的擴展功能通過獨立的l7-protocols協(xié)議包提供對各種應(yīng)用層數(shù)據(jù)的特征識別定義，便于更新22使用layer7應(yīng)用層過濾功能整體實現(xiàn)過程添加內(nèi)核補丁，重新編譯內(nèi)核，并以新內(nèi)核引導(dǎo)系統(tǒng)添加iptables補丁，重新編譯安裝iptables安裝l7-protocols協(xié)議定義包使用iptables命令設(shè)置應(yīng)用層過濾規(guī)則使用的軟件包列表Linux內(nèi)核源碼包：linux-.tar.bz2iptables源碼包：iptables-1.4.2.tar.bz2layer7補丁源碼包：netfilter-layer7-v2.21.tar.gz協(xié)議定義包：l7-protocols-2009-05-10.tar.gz23重新編譯新內(nèi)核釋放內(nèi)核源碼包，并合并補丁[root@localhost~]#tarzxvfnetfilter-layer7-v2.21.tar.gz-C/usr/src/[root@localhost~]#tarjxvflinux-.tar.bz2-C/usr/src/[root@localhost~]#cd/usr/src/linux-[root@localhostlinux-]#patch-p1<\>../netfilter-layer7-v2.21/kernel-2.6.25-2.6.28-layer7-2.21.patch

24重新編譯新內(nèi)核配置內(nèi)核編譯參數(shù)復(fù)制當前系統(tǒng)使用的內(nèi)核配置文件，以此作為基礎(chǔ)當前系統(tǒng)的內(nèi)核配置文件：/boot/config-2.6.18-8.el5源碼目錄的默認配置文件名：.config進入源碼目錄，執(zhí)行“makemenuconfig”命令在配置界面中的操作方向鍵、、、用于定位功能項、菜單項菜單項<Select>、<Exit>、<Help>空格鍵用于選擇配置類型對不同功能的配置選擇[]：空選時表示不需要在新內(nèi)核中使用該功能[M]：表示將此項功能編譯為模塊，以便在需要時加載[*]：將此項功能直接編入新內(nèi)核，作為新內(nèi)核的一部分25重新編譯新內(nèi)核需要配置哪些內(nèi)核編譯參數(shù)CodeNetfilterConfiguration網(wǎng)絡(luò)過濾代碼配置將“Netfilterconnectiontrackingsupport”編為模塊將以下應(yīng)用層過濾支持的功能也編譯為模塊：

"layer7"matchsupport、"string"matchsupport“time”matchsupport、"connlimit"matchsupport"其他功能模塊根據(jù)實際需要酌情添加“iprange”addressrangematchsupport“state”matchsupport、"mac"addressmatchsupportIP:NetfilterConfigurationIP包過濾功能配置將“IPv4connectiontrackingsupport(requireforNAT)”功能編為模塊將“FullNAT”部分的“MASQUERADEtargetsupport”、“REDIRECTtargetsupport”等功能也編譯為模塊26重新編譯新內(nèi)核編譯內(nèi)核的模塊文件、執(zhí)行程序執(zhí)行make

命令即可安裝編譯好的模塊文件執(zhí)行makemodules_install

命令模塊文件將安裝到/lib/modules//目錄安裝編譯好的內(nèi)核執(zhí)行程序執(zhí)行makeinstall

命令內(nèi)核執(zhí)行程序?qū)?fù)制為/boot/vmlinuz-修改grub.conf配置，重啟并以新內(nèi)核進入系統(tǒng)27重新編譯安裝iptables工具先卸載原有的iptables軟件包可以根據(jù)提示的依賴關(guān)系卸載相關(guān)的各軟件包或者忽略依賴關(guān)系卸載幾個主要的軟件包即可rpm-eiptablesiptables-ipv6iptstate--nodeps合并補丁，并編譯安裝新的iptables工具[root@localhost~]#tarjxvfiptables-1.4.2.tar.bz2-C/usr/src/[root@localhost~]#cd/usr/src/iptables-1.4.2/[root@localhostiptables-1.4.2]#cp/usr/src/netfilter-layer7-v2.21/\>iptables--for-kernel-2.6.20forward/libxt_layer7.*extensions/[root@localhostiptables-1.4.2]#./configure--prefix=/--with-ksource=/usr/src/linux-[root@localhostiptables-1.4.2]#make[root@localhostiptables-1.4.2]#makeinstall28安裝l7-protocols協(xié)議定義包解包后直接執(zhí)行“makeinstall”命令即可[root@localhost~]#tarzxvfl7-protocols-2009-05-10.tar.gz[root@localhost~]#cdl7-protocols-2009-05-10[root@localhostl7-protocols-2009-05-10]#makeinstall29設(shè)置使用應(yīng)用層過濾規(guī)則layer7應(yīng)用層協(xié)議匹配匹配格式：-mlayer7--l7proto

協(xié)議名協(xié)議定義文件位于：/etc/l7-protocols/protocols支持以下常見應(yīng)用層協(xié)議的過濾

qq：騰訊公司QQ程序的通訊協(xié)議

msnmessenger：微軟公司MSN程序的通訊協(xié)議

msn-filetransfer：MSN程序的文件傳輸協(xié)議

bittorrent：BT下載類軟件使用的通訊協(xié)議

xunlei：迅雷下載工具使用的通訊協(xié)議

edonkey：電驢下載工具使用的通訊協(xié)議其他各種應(yīng)用層協(xié)議：ftp、http、dns、imap、pop3……規(guī)則示例：過濾使用qq協(xié)議的轉(zhuǎn)發(fā)數(shù)據(jù)包

iptables-AFORWARD-mlayer7--l7protoqq-jDROP教員演示操作過程30設(shè)置使用應(yīng)用層過濾規(guī)則時間匹配匹配格式：-mtime--timestart

起始時間--timestop

結(jié)束時間--wekdays

每周的哪些天時間以24小時制表示，例如18:00每周的哪些天以對應(yīng)的英文縮寫表示，例如周一至周日分別為Mon、Tue、Wed、Thu、Fri、Sat、Sun并發(fā)連接數(shù)匹配匹配格式：-mconnlimit--connlimit-above

上限數(shù)字符串匹配匹配格式：-mstring--string“字串”--algo

算法算法指的是用于比對數(shù)據(jù)包中字符串的特定方法，可以為bm或kmp，其中任一種均可31本章總結(jié)SNAT策略及應(yīng)用SNAT策略概述重新編譯安裝內(nèi)核SNAT策略的應(yīng)用重新編譯安裝iptables配置iptables防火墻（二）DNAT策略及應(yīng)用使用layer7應(yīng)用層過濾功能DNAT策略概述DNAT策略的應(yīng)用設(shè)置應(yīng)用層過濾規(guī)則BENET3.0第二學(xué)期課程第三章配置IPTABLES防火墻（二）——上機部分33實驗案例1：SNAT、DNAT網(wǎng)關(guān)策略需求描述網(wǎng)關(guān)主機使用兩個網(wǎng)卡eth0接口（/24）連接外網(wǎng)eth1接口（/24）連接內(nèi)網(wǎng)配置SNAT策略實現(xiàn)共享上網(wǎng)從/24網(wǎng)段可以