防火墻與代理服務(wù)器

1、Linux網(wǎng)絡(luò)操作系統(tǒng)與培訓(xùn)(第二版)，中國鐵道出版社，孔主編，姜慶齡，梁副主編，教材地址：Windows Linux教師交流組：189934741，第15章防火墻與代理服務(wù)器，1。項目介紹。防火墻概述，3。iptables，4 .納特，5。squid代理服務(wù)器網(wǎng)絡(luò)拓撲如下圖所示。iptables防火墻的Eth0接口連接到外部網(wǎng)絡(luò)，IP地址為00；eth1接口連接到IP地址為的內(nèi)部網(wǎng)。假設(shè)內(nèi)部網(wǎng)中有三個服務(wù)器：網(wǎng)絡(luò)、域名系統(tǒng)和電子郵件，它們都有公共的IP地址。它的IP地址如圖所示。設(shè)置防火墻規(guī)則以加強對內(nèi)部網(wǎng)服務(wù)器的保護，并允許外部網(wǎng)用戶訪問這三

2、個服務(wù)器。本項目引入項目分析，完成本項目需要解決的問題如下：1。什么是防火墻及其工作原理；2.如何使用Iptables設(shè)置防火墻；3.如何配置包過濾防火墻；4.如何實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換5；什么是代理服務(wù)器。它的工作原理是什么？6.squid代理服務(wù)器的安裝、啟動和運行方法。7.squid服務(wù)器的配置方法。8.透明代理的配置方法。教學(xué)目標介紹。本課學(xué)習要達到的教學(xué)目標：掌握防火墻的概念和工作原理，Iptables的結(jié)構(gòu)和配置方法，包過濾防火墻的配置方法，代理服務(wù)器的工作原理，代理服務(wù)器的啟動和停止方法，代理服務(wù)器配置文件的修改方法。本課程介紹了學(xué)生課后應(yīng)具備的專業(yè)能力：掌握為企業(yè)設(shè)計防火墻的能力，掌

3、握Linux下Iptables的配置方法， 掌握包過濾防火墻的配置能力，掌握NAT的配置能力，執(zhí)行squid代理服務(wù)器的配置能力，具有良好的團隊協(xié)作能力。 15.1.1防火墻概念、15.1防火墻概述、15.1.2 iptables簡介、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理網(wǎng)絡(luò)過濾器的五個鏈相互關(guān)聯(lián)，如圖15-1所示。15.2iptables，15.2.2iptab

4、les工作原理，15.2.2 iptables工作原理，15.2 iptables，15.2.2 iptables工作原理，2 iptables工作流程，15.2 iptables，15.2.2 iptables工作原理，15.2 iptables，15.2.3 iptables安裝，15.2.3 iptables安裝，15.2.4 iptables命令，15.2 iptables，15.2 iptables，15.2 iptables，15.2。 15.3 NAT，15.3.1 NAT (2) NAT用自己的端口號和公共IP地址替換數(shù)據(jù)包中的端口號和私有IP地址，然后將數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)的

5、目的主機，并在映射表中記錄跟蹤信息，以便將回復(fù)信息發(fā)送給客戶端。 (3)外部網(wǎng)絡(luò)向網(wǎng)絡(luò)地址轉(zhuǎn)換發(fā)送回復(fù)信息。(4)NAT將接收到的數(shù)據(jù)包的端口號和公共IP地址轉(zhuǎn)換成客戶端的端口號和內(nèi)部網(wǎng)絡(luò)使用的私有IP地址，并將其轉(zhuǎn)發(fā)給客戶端。15.3網(wǎng)絡(luò)地址轉(zhuǎn)換，15.3.1網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識，網(wǎng)絡(luò)地址轉(zhuǎn)換工作過程示意圖：15.3網(wǎng)絡(luò)地址轉(zhuǎn)換，15.3.1網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識，網(wǎng)絡(luò)地址轉(zhuǎn)換分類：(1)源網(wǎng)絡(luò)地址轉(zhuǎn)換(SNAT)。SNAT指的是修改第一個數(shù)據(jù)包的源IP地址。SNAT將在包裹寄出前的最后一分鐘進行郵寄。Linux中的IP假面舞會是SNAT的一種特殊形式。(2)目的地址轉(zhuǎn)換。DNAT是指修改第一

6、個數(shù)據(jù)包的目的地址。DNAT總是在數(shù)據(jù)包進入后立即執(zhí)行預(yù)路由操作。端口轉(zhuǎn)發(fā)、負載平衡和透明代理都屬于DNAT。15.3網(wǎng)絡(luò)地址轉(zhuǎn)換，15.3.2網(wǎng)絡(luò)地址轉(zhuǎn)換由iptables實現(xiàn)，用戶通過Iptables命令根據(jù)規(guī)則處理的數(shù)據(jù)包類型設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則：將源IP地址轉(zhuǎn)換的數(shù)據(jù)包規(guī)則添加到后路由鏈中。將數(shù)據(jù)包轉(zhuǎn)換為目的地址的規(guī)則被添加到預(yù)路由鏈中。直接從本地發(fā)出的數(shù)據(jù)包的規(guī)則被添加到輸出鏈中。15.3 NAT，15.3.2帶Iptables的NAT和數(shù)據(jù)包穿越NAT的工作流程圖：15.3 NAT，15.3.2帶Iptables的NAT，例15-10假設(shè)企業(yè)網(wǎng)絡(luò)中的一臺NAT服務(wù)器配有雙網(wǎng)卡，et

7、h0連接到外部網(wǎng)絡(luò)，eth1連接到內(nèi)部網(wǎng)絡(luò)，IP地址為192.168。內(nèi)部網(wǎng)中的客戶端只有私有的IP地址。使用網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)，企業(yè)內(nèi)部網(wǎng)絡(luò)中的計算機可以連接到互聯(lián)網(wǎng)。15.3網(wǎng)絡(luò)地址轉(zhuǎn)換，15.3.2網(wǎng)絡(luò)地址轉(zhuǎn)換使用Iptables，假設(shè)以太網(wǎng)的IP地址是靜態(tài)分配的。公共IP地址池是222 . 206 . 160 . 100-222 . 206 . 160 . 150。此時，SNAT應(yīng)該完成了，iptables命令的-j參數(shù)的語法格式是：-j snat-to-source/-to-ip1-IP 2: port 1-port 2配置步驟：打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。根服務(wù)器# echo“1”

8、/proc/sys/net/IP v4/IP _ forward實現(xiàn)SNAT。根服務(wù)器# IPTadslbles t NAT a post routing p TCP o eth 0j snat-to 222 . 206 . 160 . 100-222 . 206 . 160 . 2533603000，15.3 NAT，15.3.2 NAT，帶iptables、此時，IP應(yīng)該被偽裝，iptables命令的-j參數(shù)的語法格式是：-j假面舞會配置步驟：打開Linux的內(nèi)核轉(zhuǎn)發(fā)功能。根服務(wù)器# echo 1 /proc/sys/net/IP v4/IP _ forward實現(xiàn)IP偽裝。根服務(wù)器# I

9、ptables t NAT PPP 0-j偽裝的后路由，15.3 NAT，15.3.2 NAT由Iptables實現(xiàn)，示例15-11假設(shè)企業(yè)網(wǎng)絡(luò)中的一臺NAT服務(wù)器安裝了雙網(wǎng)卡，eth0連接到外部網(wǎng)絡(luò)，并且IP地址是00。Eth1連接到IP地址為的內(nèi)部網(wǎng)。內(nèi)部網(wǎng)中的網(wǎng)絡(luò)服務(wù)器的IP地址是。要求互聯(lián)網(wǎng)用戶在瀏覽器中輸入00時，可以訪問內(nèi)部網(wǎng)的網(wǎng)絡(luò)服務(wù)器。15.3網(wǎng)絡(luò)地址轉(zhuǎn)換，15.3.2使用Iptables實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，根據(jù)主題要求，此時應(yīng)進行DNAT。iptables命令的-j參數(shù)的

10、語法格式是：-j DNAT-to-destination/-to ip1-IP 2: port 1-port 2。實現(xiàn)dnat的配置聲明：# Iptables t NAT a routing p TCP d 222 . 206 . 160 . 100-dport 80j dnat-to 192 . 168 . 1 . 2:80或：# Iptables t NAT a routing p TCP I eth 0-dport 80j dnat-to 192 . 168 . 1 . 2:80，15.4 squid代理服務(wù)器，15.4.1代理服務(wù)器的工作原理，(2)用戶訪問限制。(3)安全性提高。15

11、.4 squid代理服務(wù)器，15.4.3安裝、啟動和停止squid服務(wù)，15.4.3安裝、啟動和停止Squid服務(wù)，15.4.3安裝、啟動和停止Squid服務(wù)，15.4.3安裝、啟動和停止Squid服務(wù)，15.4 squid代理服務(wù)器，15.4.4配置Squid服務(wù)器，1幾個常用選項(1)http_port 3128。http _ port 192 . 168 . 2 . 254:8080，(2)cache_mem 512MB .內(nèi)存緩沖區(qū)設(shè)置是指需要多少內(nèi)存用作緩存。(3)cache _ dir ufs/var/spool/squid 4096 16 256 .用于指定硬盤緩沖區(qū)的大小。(4

12、)cache_effective_user squid .設(shè)置使用緩存的有效用戶。cache _ effective _ user none，(5)cache_effective_group squid .使用緩存設(shè)置有效的用戶組，默認為squid組，但也可以更改。15.4 squid代理服務(wù)器，15.4.4 squid服務(wù)器配置，1幾種常用選項，(6)00域名服務(wù)器。設(shè)置有效的域名系統(tǒng)服務(wù)器的地址。(7)cache _ access _ log/var/log/squid/access . log .為訪問記錄設(shè)置日志文件。(8)cache _ log/var/lo

13、g/squid/cache . log .設(shè)置緩存日志文件。該文件記錄有關(guān)緩存的信息。(9)cache _ store _ log/var/log/squid/store . log .設(shè)置網(wǎng)頁緩存日志文件。網(wǎng)頁緩存日志記錄緩存中存儲的對象的相關(guān)信息，如大小、存儲時間、過期時間等。15.4 squid代理服務(wù)器，15.4.4 squid服務(wù)器配置，1幾個常用選項，(10)visible_hostname ?？梢娭鳈C名字段用于幫助Squid知道當前的主機名。如果未設(shè)置此項，啟動Squid時將會出現(xiàn)提示“致命：無法確定完全限定的主機名，請設(shè)置可見的主機名”。出現(xiàn)訪問錯誤時，該

14、選項的值將出現(xiàn)在客戶端錯誤提示頁面中。(11)cache_mgr .設(shè)置管理員的電子郵件地址。當客戶端出現(xiàn)錯誤時，電子郵件地址會出現(xiàn)在網(wǎng)頁提示中，以便用戶可以寫信給管理員告知發(fā)生了什么。15.4 squid代理服務(wù)器，15.4.4配置squid服務(wù)器，2設(shè)置訪問控制列表，15.4.4配置squid服務(wù)器，15.4 squid代理服務(wù)器，15.4.4配置squid服務(wù)器，15.4.4配置squid代理服務(wù)器，15.4 squid代理服務(wù)器，15.4.4 squid代理服務(wù)器，15.4.4 squid代理服務(wù)器，15.4.5透明代理，15.4.4 squid代理服務(wù)器，15.4.4 Squid代理服務(wù)器，15 . 4 . 4 . 4 Squid代理服務(wù)器15.4.4 squid代理服務(wù)器，15.4.4 squid代理服務(wù)器，15.4.4配置Squid服務(wù)器，15.4 squid代理服務(wù)器，15.4.4配置Squid服務(wù)器，總結(jié)一下，本項目的解決方案是： /1。 清除所有鏈規(guī)則rootServe