分享
分享赚钱 收藏 举报 版权申诉 / 62

类型第15讲 防火墙的使用.ppt

  • 上传人:ysd1539
  • 文档编号:7033717
  • 上传时间:2019-05-03
  • 格式:PPT
  • 页数:62
  • 大小:634.50KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    第15讲 防火墙的使用.ppt
    资源描述:

    1、防火墙的使用,电子信息工程系 朱燕,防火墙的主要类别,IP Filter 代理服务器 (Proxy),网络层防火墙,网络防火墙软件的主要功能 对进入和流出的IP数据包进行过滤,屏蔽不符合要求的数据包,保证内部网络的安全 提供数据包的路由选择,实现网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求 防火墙的类型 硬件防火墙是功能专一的硬件设备,价格昂贵 软件防火墙的功能是由计算机中的软件实现的,具有相当大的价格优势,防火墙的一般布局,单一 Linux 主机兼任防火墙功能网络里仅有一部 Linux 主机,该主机负责整个 LAN 里面所有个人计算机对外的联机

    2、,也是 LAN 里的网关 。该防火墙一般有两个接口,一个对内一个对外,同时,也可以直接在 Linux 防火墙上架设网站,这是目前针对小型的企业所常见的网络配置方案。,所有的 PC 都会经过 Firewall 的数据包过滤之后,才能将数据包送出或者是接收,而如果 Internet 上面出现问题,只要管理 Firewall 那部主机,很容易将来自 Internet 的不良数据包抵挡掉。在 Firewall 上面可以同时架设 Proxy ,用来控制 Client 端的 WWW 联机状态(注:也可以加设网络流量监控软件) 优点: 安全维护在内部可以开放的权限较大。 安全机制的设定可以针对 Linux

    3、主机来维护即可。 对外只看的到 Linux 主机,所以对于内部可以达到有效的安全防护。,单一 Linux 防火墙, LAN 内另设防火墙一般情况下,防火墙对于 LAN 内部的防备都不会设定的很严格。因为不能保证所有使用企业内部计算机的使用者都是公司的员工,也无法保证员工不去破坏。如果有特别重要的部门需要更安全的保护网络环境,在 LAN 里再加设一个防火墙,将安全等级分类,让重要数据获得更佳的保护。,在防火墙后端的服务器主机设定 将提供网络服务的服务器放在防火墙后。Eg:Web, Mail 与 FTP 都是通过防火墙连到 Internet ,四部主机在 Internet 上的 Public IP

    4、 都一样。只是通过防火墙的数据包分析后,将 WWW 的要求数据包转送到 Web 主机,将 Mail 送给 Mail Server 去处理(通过 port 的不同来转发)。因为四部主机在 Internet 上面看到的 IP 都相同,但是事实上却是四部不同的主机。eg:当有攻击者想要入侵 FTP 主机时,使用各种分析方法去进攻的主机,实际上是防火墙,攻击者想要攻击内部的主机,必须先成功的搞定防火墙,否则就很难入侵内部主机。,数据包,防火墙可以分析网络上传送过来的数据包,并取得分析该资料数据包的包头数据,还可以分析目的地与来源地的 IP, port, 是否主动联机等等的其它信息。防火墙抵挡的方法可以

    5、有: 拒绝让数据包进入主机的某些 port 拒绝让某些来源 IP 的数据包进入 拒绝让带有某些特殊标志( flag )的数据包进入:最常拒绝的就是带有 SYN 的主动联机的标志 分析硬件地址(MAC)来提供服务:针对局域网内部,简单的 firewall 主机,两层防火墙,分别是 iptables 与 TCP_Wrappers ,数据包会先经过 iptables ,然后是 TCP_Wrappers。,一般 Linux 上的防火墙大多指 iptables 这个 IP Filter ,它利用一些数据包过滤的规则设定,定义出什么数据可以接收,什么数据需要剔除,以达到保护主机的目的。,防火墙的使用限制,

    6、防火墙并不能很有效的抵挡病毒或木马程序 。Eg:防火墙规则开放的服务中的服务器软件本身有漏洞。 防火墙对于来自内部 LAN 的攻击较无承受力,Linux 内核版本与防火墙机制,Version 2.0:使用 ipfwadm ; Version 2.2:使用的是 ipchains; Version 2.4与2.6:主要是使用 iptables 。netfilter与iptables 在Linux的内核中使用netfilter架构实现防火墙功能 iptables是Linux系统中为用户提供的netfilter管理工具,用于实现对Linux内核中网络防火墙的管理,iptables 的表格与数据包进入的

    7、流程,iptables 的工作方向,必须要依规则的顺序来分析数据包。 Action 表示动作。通常针对数据包的动作有 ACCEPT/DROP (接受/丢弃) 两种动作 Rule 表示规则,这些规则是有顺序的 。,当 TCP 数据包通过了 Rule 1 ,符合 Rule 1 的规定,则 TCP 数据包就会进行 Action 1 ,而不用理会 Rule 2 以后的规则。如果 TCP 不符合 Rule 1 的规定,就进入第二条规则 (Rule 2) 来检查,一直到 Rule 10 的时候,该 TCP 数据包都没有符合的规则可以进行,此时就会以预设动作 ( 数据包政策, Policy )来让 TCP

    8、数据包进行通过与否的动作。 注意:规则的顺序排列错误时,就会产生很大的困扰 。,Eg:假设 Linux 主机提供了 WWW 的服务,要针对 port 80 来启用netfilter ,发现 IP 为 192.168.100.100 经常恶意的尝试入侵系统,所以必须将该 IP 拒绝;同时,所有的非 WWW 的数据包都给他丢弃,针对以上三个规则如何设定防火墙检验顺序? Rule 1 先让请求 WWW 服务的数据包通过; Rule 2 再抵挡 192.168.100.100 ; Rule 3 将所有的数据包丢弃。 此时, 192.168.100.100 可以使用主机的 WWW 服务,因为设置的规则顺

    9、序定义第一条就会让他通过,而不去考虑第二条规则。正确的为:Rule 1 先抵挡 192.168.100.100 ; Rule 2 再让请求 WWW 服务的数据包通过; Rule 3 将所有的数据包丢弃。,思考:如果 Rule 1 变成将所有的数据包丢弃,Rule 2 才设定WWW 服务数据包通过,请问,我的 client 可以使用我的 WWW 服务吗? 答案是:否,Iptables的表格与链,iptables 的规则都写在表格, table里,每个表格又依据数据包的行进路线,而可大略分为三条链:进入、输出、转发 缺省具有3个规则表 filter:用于设置包过滤 nat:用于设置地址转换 man

    10、gle:用于设置网络流量整形等应用(使用较少),Filter和nat表格又分别具有三条链,分别是:filter:主要和 Linux 本机有关,为默认 table。 INPUT:数据包想要进入 Linux 本机有关; OUTPUT: Linux 本机所要送出的数据包有关; FORWARD:与 Linux 本机没有太多关系,用于将数据包转发到后端的计算机中,与 nat 有关。 nat:主要和 NAT 主机的设定有关 PREROUTING:在进行路由判断之前所要进行的规则 (DNAT/REDIRECT) POSTROUTING:在进行路由判断之后所要进行的规则 (SNAT/MASQUERADE) O

    11、UTPUT:与发送出去的数据包有关,数据包的行进路线,A 数据包主要是要读取 Linux 本机内的数据,会经过 filter 的 INPUT 链, 数据的输出则是经过 filter 的 OUTPUT 链; B 数据包主要是要透过防火墙而去后端,该数据包的目标并非 Linux 本机。 主要经过的链是 filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。,iptables软件包的安装,# rpm -qa |grep iptables iptables iptables软件包,iptables 语法-查看规则,# iptables -t tables

    12、-L -n 参数说明: -t:后面接 iptables 的 table ,例如 nat 或 filter ,如果没有 -t table,默认为 -t filter 这个 table -L:列出目前的 table 的规则 -n:不进行 IP 与 HOSTNAME 的转换,屏幕显示讯息的速度会快很多,Eg: # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Ch

    13、ain OUTPUT (policy ACCEPT) target prot opt source destination # 没有加上 -t 的参数,为 filter表格 # 在这个表格当中有三条链,分别是 INPUT, OUTPUT 与 FORWARD ,当前没有规则,规则里都为是空。在每个 chain 的后面 () 里面的policy就是预设动作(政策) # 上面虽然启动了 iptables ,但是没有设定规则,然后动作是 ACCEPT, 所以任何数据包都会接受,# iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target

    14、 prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination,清除规则,# /sbin/iptables -t tables -FXZ 参数说明: -F :清除所有的已订定的规则; -X :删除所有使用者建立的 chain (即tables ) -Z :将所有的 chain 的计数与流量统计都归零 eg: # /sbin/iptable

    15、s -F # /sbin/iptables -X # /sbin/iptables -Z # /sbin/iptables -t nat -F 注意:如果在远程联机的时候,这三个指令必须要用 scripts 来连续执行,否则会让自己被主机挡在门外。,定义政策,政策:当数据包不在设定的规则之内时,则该数据包的通过与否,以 Policy 的设定为准。通常政策在 filter 的 INPUT 链定义的比较严格,而 FORWARD 与 OUTPUT 订定的松一些 # /sbin/iptables -t tables -P INPUT,OUTPUT,FORWARD| PREROUTING,OUTPUT,

    16、POSTROUTING ACCEPT,DROP -P :定义政策( Policy )。 P 为大写 INPUT :数据包为输入主机的方向; OUTPUT :数据包为输出主机的方向; FORWARD:数据包为不进入主机而向外再传输出去的方向; PREROUTING :在进入路由之前进行的工作; OUTPUT :数据包为输出主机的方向; POSTROUTING:在进入路由之后进行的工作。,eg: # /sbin/iptables -P INPUT DROP # /sbin/iptables -P OUTPUT ACCEPT # /sbin/iptables -P FORWARD ACCEPT #

    17、/sbin/iptables -t nat -P PREROUTING ACCEPT # /sbin/iptables -t nat -P OUTPUT ACCEPT # /sbin/iptables -t nat -P POSTROUTING ACCEPT 除了 INPUT 之外,其它都设定为接收。在上面的设定之后,主机发出的数据包可以出去,但是任何数据包都无法进入, 包括回应给送出数据包的响应数据包(ACK)也无法进入。,增加与插入规则,# iptables -t filter -AID INPUT,OUTPUT,FORWARD -io interface -p tcp,udp,icmp,

    18、all -s IP/network -sport ports -d IP/network -dport ports -j ACCEPT,DROP 说明: -A :在已有的规则的最后面新增加一条规则 -I :插入一条规则,如果没有设定规则顺序,默认是插入变成第一条规则 -D:删除一条规则 INPUT :规则设定为 filter table 的 INPUT 链 OUTPUT :规则设定为 filter table 的 OUTPUT 链 FORWARD:规则设定为 filter table 的 FORWARD 链 -i :设定数据包进入的网络接口 -o :设定数据包流出的网络接口 interface

    19、 :网络接口,例如 ppp0, eth0, eth1,-p :p为小写。数据包的类型 tcp :数据包为 TCP 数据包; upd :数据包为 UDP包; icmp:数据包为 ICMP all :表示为所有的数据包 -s :来源数据包的 IP 或者是 Network ( 网络 ); -sport:来源数据包的 port 号码;可以使用 port1:port2 如 21:23, 表示同时通过 21,22,23; -d :目标主机的 IP 或者是 Network ( 网络 ); -dport:目标主机的 port 号码; -j :动作,可以接底下的动作; ACCEPT :接受该数据包 DROP :

    20、丢弃数据包 LOG :将该数据包的信息记录下来 (默认记录到 /var/log/messages ),eg1: # iptables -A INPUT -i lo -j ACCEPT 所有的来自 lo 这个界面的数据包接受 注意:因为 -d, -dport, -s, -sport 等等参数都没有设定,表示: 不论数据包来自何处或去到哪里,只要是来自 lo 这个接口,就予以接受 。 记住:没有设定的规则,则表示该规则完全接受 eg2: # iptables -A INPUT -i eth0 -s 192.168.0.1 -j ACCEPT来自 192.168.0.1 这个 IP 的数据包都接受新

    21、增一条规则,只要是来自于 192.168.0.1 的数据包,不论要去哪里, 使用的是哪个协议 (port) 主机都会予以接受 eg3:来自 192.168.1.0 /24网络的都予以接受 ,但是来自 192.168.1.25 的数据包要丢弃 # iptables -A INPUT -i eth0 -s 192.168.1.25 -j DROP # iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT 强调:请特别注意规则的顺序排列的问题!,eg4:只要是想进入本机的 port 21 的数据包都丢弃 # iptables -A INPUT -

    22、i eth0 -p tcp -dport 21 -j DROP eg5:来自 192.168.0.24 这个 IP 的数据包,想要到本机的 udp137、138, tcp139、445端口时,都接受 # iptables -A INPUT -i eth0 -p udp -s 192.168.0.24 -dport 137:138 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -s 192.168.0.24 -dport 139 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -s 192.168.0.24 -

    23、dport 445 -j ACCEPTeg6:只要是接触到主机的 port 25 就将该数据包记录 (LOG) 下来 # iptables -A INPUT -p tcp -dport 25 -j LOG,注意:指定端口一定要指定-p数据包的类型。 网络的写法是: 192.168.1.0/24或者192.168.1.0/255.255.255.0,iptables 的其它相关参数说明,! -syn :只能用于 -p tcp 的规则中,因为 TCP 数据包有 syn 。当 TCP 数据包存有 syn 标志,表示该联机是对方主动连过来的。 若在 -syn 之前加上 ! 表示该数据包不带有 syn

    24、(刚好相反) eg1:将来自 192.168.100.200 的主动联机数据包丢弃: # iptables -A INPUT -p tcp -i eth0 -s 192.168.100.200 -syn -j DROP,-icmp-type:可以管制 ICMP 数据包的某些类型。 eg2:别的主机 ping 主机时,主机不予以响应 type为8:Echo Request (请求回应信息) # iptables -A INPUT -p icmp -icmp-type 8 -j DROP 对方主机显示主机无法连接的状态,-m :表示数据包的状态 -m mac -mac-source aa:bb:c

    25、c:dd:ee:ff 控制网卡, MAC -m state -state 有数种状态: INVALID:无效的数据包,例如数据破损的数据包状态 ESTABLISHED:已经联机成功的联机状态; NEW:想要新建立联机的数据包状态; RELATED:表示该数据包与主机发送出去的数据包有关,可能是响应数据包或者是联机成功之后的传送数据包。(常用,可以简化大量规则) eg3:让 bb:cc:dd:aa:ee:ff 网卡无法使用主机的资源 # iptables -A INPUT -m mac -mac-source 01:01:01:01:02:01 -j DROP 用来管制网卡,防止别人使用 IP破

    26、坏。,eg4:让已经建立或者是与主机有关的响应数据包通过,但是让不合法的以及想要尝试新建立的数据包被抵挡在外 # iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -m state -state INVALID,NEW -j DROP 数据包状态可以用逗号隔开,逗号两边不要有空格 # iptables -A FORWORD -m state -state ESTABLISHED,RELATED -j ACCEPT # iptables -A FORWORD -m state -

    27、state INVALID,NEW -j DROP,NAT工作原理,eth0,eth1,nat,eth0:192.168.1.1 eth1:61.186.160.120,Webserver 212.87.194.56,client 192.168.1.2,封包从网卡进入之后,在路由判断之前在PREROUTING链中可以实现对需要转发到内网的数据包的目的IP地址和端口进行替换修改(DNAT),实现主机或端口的重定向。对于路由判断之后马上要转发到外网出去的封包。在POSTROUTING链中对数据包的源IP地址和端口进行替换修改(SNAT)。一般是直接伪装成面向外网的公共IP和端口。,-j :常见的

    28、 ACCEPT 与 DROP 之外,还有 REDIRECT -to-ports 常用。进行本机上 port 的转换 注意:这个动作仅能够在 nat table 的 PREROUTING 以及OUTPUT 链上面实行。 MASQUERADE 数据包伪装 NAT 主机最重要的一个机制。 SNAT -to-source ip:port 改写源IP和端口 DNAT -to-destination ip:port 改写目的IP和端口,eg5:将要求与 80 联机的数据包转发到 8080 port # iptables -t nat -A PREROUTING -p tcp -dport 80 -j RE

    29、DIRECT -to-ports 8080 本机使用 8080 port 启动 WWW ,但是别人都以 port 80 来联机,使用上面的方式将对方对主机的联机传递到 8080 eg6:将来自 192.168.0.0/24 的数据包的来源 IP 伪装成为本机的 ppp0 接口的 IP # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE,eg7:将来自外网中对目的ip为61.186.160.120:80端口的请求转换为内网的实际提供www服务的的主机192.168.1.2 #iptables t nat

    30、 A PREROUTING p tcp i eth1 d 61.186.160.120 -dport 80 j DNAT -to-destination 192.168.1.2:80eg8:上题的反向连接。将源IP为192.168.1.2:80的数据包转换为面向外网的公共IP61.186.120 #iptables t nat A POSTROUTING p tcp o eth1 s 192.168.1.2 -sport 80 j SNAT -to-source 61.186.160.120:80,IPv4 的内核管理功能,相关的设定资料放置在 /proc/sys/net/ipv4/ 目录中

    31、1、开启内核的IP包转发功能(使用FORWORD链时必须开启) echo “1” /proc/sys/net/ipv4/ip_forward (0为不开启。)2、开启SYN Flooding (DoS)攻击保护 echo “1” /proc/sys/net/ipv4/tcp_syncookies 开启后,主机在发送 SYN/ACK 确认封包前,会要求 Client 端在短时间内回覆一个序号,可能会造成某些服务的延迟现象 。,3、取消ping广播回应 echo “1” /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts,启动iptables,servic

    32、e iptables restart (或# /etc/rc.d/init.d/iptables restart ),纪录与恢复防火墙规则,iptables命令的设置在系统中是即时生效的,使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失# iptables-save filename 将目前的防火墙机制储存成 filename 文件,该文件为 ASCII 格式 # iptables-restore filename 将 filename防火墙文件的规则读入目前的 Linux 主机环境中,如果要在服务或系统重启后依然生效 #service iptables s

    33、ave记录在/etc/sysconfig/iptables文件中,防火墙设定原则,要实际设定防火墙之前,最好先用笔将所需要的规则与开放的服务进行设计,然后再来具体设计规则!比较严密的防火墙规划: 拒绝所有,开放特定将Policy 设定为 DROP ,将其它的服务一个一个的启动。,iptables实例,企业环境及需求230台客户机,IP地址范围为192.168.0.1192.168.0.254,子网掩码为255.255.255.0 Mail服务器:IP地址为192.168.0.1 子网掩码为255.255.255.0 FTP服务器:IP地址为192.168.0.2 子网掩码为255.255.25

    34、5.0 WEB服务器:IP地址为192.168.0.3 子网掩码为255.255.255.0,要求所有内网计算机需要经常访问互联网,并且员工会使用即时通信工具与客户进行沟通,企业网络DMZ隔离区搭建有Mail、FTP和Web服务器,其中Mail和FTP服务器对内部员工开放,仅需要对外发布Web站点,并且管理员会通过外网进行远程管理,为了保证整个网络的安全性,需要添加iptables防火墙并配置相应的策略需求分析企业的内部网络为了保证安全性开启内核管理功能 删除所有规则设置,并将默认规则设置为DROP 开启防火墙对于客户端的访问限制,打开WEB、MSN、QQ及MAIL的相应端口, 允许外部客户端

    35、登录WEB服务器的80、22(ssh)端口。,解决方案 1、开启内核管理功能 echo “1“ /proc/sys/net/ipv4/ip_forward echo “1“ /proc/sys/net/ipv4/tcp_syncookies echo “1“ /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts,2、配置默认策略 (1)删除策略 #iptables F #iptables -X #iptables Z #iptables t nat F #iptables t nat -X #iptables t nat -Z,(2)设置默认策略 设置默

    36、认策略为: filter表的INPPUT及FORWARD链关闭,开启OUTPUT链, nat表的三个链PREROUTING、OUTPUT、POSTROUTING全部开启 # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP # iptables -t nat -P PREROUTING ACCEPT # iptables -t nat -P OUTPUT ACCEPT # iptables -t nat -P POSTROUTING ACCEPT,3、设置回环地址 有些服务的测试需要使用回

    37、环地址,为了保证各个服务的正常工作,需要允许回环地址的通信 #iptables A INPUT i lo j ACCEPT4、连接状态设置 为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置 #iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT5、设置80端口转发 公司网站需要对外开放,需要开放80端口 #iptables -A FORWARD -p tcp -dport 80 -j ACCEPT,6、DNS相关设置 为了客户端能够正常使用域名访问互联网,需要允许内网计算机与外部DNS服务器的数据转发。

    38、开启DNS使用UDP、TCP的53端口 #iptables -A FORWARD -p tcp -dport 53 -j ACCEPT #iptables -A FORWARD -p udp -dport 53 -j ACCEPT7、允许访问服务器的SSH 管理员通过外网进行远程管理,开启SSH使用的TCP协议22端口 #iptables -A INPUT -p tcp -dport 22 -j ACCEPT,8、允许内网主机登录MSN和QQ相关设置 QQ能够使用TCP80、8000、443及UDP8000、4000登录,而MSN通过TCP1863、443验证。因此只需要允许这些端口的FORW

    39、ARD转发即可以正常登录。 #iptables -A FORWARD -p tcp -dport 1863 -j ACCEPT #iptables -A FORWARD -p tcp -dport 443 -j ACCEPT #iptables -A FORWARD -p tcp -dport 8000 -j ACCEPT #iptables -A FORWARD -p udp -dport 8000 -j ACCEPT #iptables -A FORWARD -p udp -dport 4000 -j ACCEPT,9、允许内网主机收发邮件 客户端发送邮件时访问邮件服务器的TCP25端口。

    40、接收邮件时访问,可能使用的端口则较多,UDP协议以及TCP协议的端口:110、143、993及995 smtp: # iptables -A FORWARD -p tcp -dport 25 -j ACCEPT pop3: # iptables -A FORWARD -p tcp -dport 110 -j ACCEPT # iptables -A FORWARD -p udp -dport 110 -j ACCEPT imap: # iptables -A FORWARD -p tcp -dport 143 -j ACCEPT # iptables -A FORWARD -p udp -dp

    41、ort 143 -j ACCEPT imaps: 提供了SSL加密的imap协议 # iptables -A FORWARD -p tcp -dport 993 -j ACCEPT # iptables -A FORWARD -p udp -dport 993 -j ACCEPT pop3s: 提供了SSL加密的POP3协议 # iptables -A FORWARD -p tcp -dport 995 -j ACCEPT # iptables -A FORWARD -p udp -dport 995 -j ACCEPT,10、NAT端口映射设置 将局域网的私网地址转为服务器的外部地址进行地址

    42、映射 #iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE11、内网机器对外发布WEB网站 内网WEB服务器IP地址为192.168.0.3,当公网客户端访问服务器时,需要防火墙将请求映射到内网的192.168.0.3的80端口 #iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to-destination 192.168.0.3:8012、记录或者保存防火墙配置 # iptables-save myfirwall,可以写成脚

    43、本: 1、编辑脚本 #Vi /etc/rc.d/init.d/firwall #! /bin/sh echo “1“ /proc/sys/net/ipv4/ip_forward /sbin/iptables F 说明:第一行说明为shell脚本文件。#为注释。命令要给出全路径 ,避免环境变量的问题。2、将脚本变成可执行文件 #chmod 755 /etc/rc.d/init.d/firwall3、 开机自动运行脚本 在/etc.rc.d/rc.local文件的最末尾添加一行: /etc/rc.d/init.d/firewall,TCP_Wrappers,当某个软件支持 tcpd (TCP Wr

    44、appers) 的功能,则当网络数据包尝试向该服务要求数据时,该网络数据包将接受 TCP Wrappers 的检验,而检验的参数设定则是取自 /etc/hosts.allow 以及 /etc/hosts.deny两个文件。,练习,什么是 iptables 的默认策略 (Policy)? 假设 Linux 仅是作为 Client 使用,并没有对 Internet 进行任何服务,防火墙可以如何规划? 将来自 192.168.1.50 这个 IP 来源的数据包,只要是向本机的 2123 端口要求的数据包,就将他抵挡,应该如何下达 iptables 指令? 将自己主机 ping 的响应功能取消,应该如

    45、何下达 iptables 的指令? 请说明为何这个指令是错误的?iptables -A INPUT -p udp -syn -s 192.168.0.20 -j DROP? 如果DNS 的要求是必须的,该如何设定主机可以接受 DNS 的响应请求呢? 如何在系统上取消 iptables? 请列出 iptables 默认的两个 table ,以及各个 table 里面的 chains 与各个 chains 所代表的意义,2、没有对 Internet 进行任何服务(1)将所有的对外端口先关闭(2)防火墙规则中,最重要的是 INPUT 的 Policy 一定要 DROPiptables P INPUT

    46、 DROP(3)开放本机的 lo iptables -A INPUT -i lo -j ACCEPT (4)让与主机有关的响应数据包通过iptables -A INPUT -i eht0 -m state -state RELATED,ESTABLISHED -j ACCEPT 3、iptables -A INPUT -p tcp -s 192.168.1.50 -dport 21:23 -j DROP,6、iptables -A INPUT -p udp -sport 53 -j ACCEPT iptables -A INPUT -p tcp -sport 53 -j ACCEPT 7、先要清除规则后,才能将 iptables 移除,

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:第15讲 防火墙的使用.ppt
    链接地址:https://www.docduoduo.com/p-7033717.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开