1、LINUX高级企业服务器管理,Linux Advanced Enterprise Server Management,Redhat5的安装与桌面的使用,常用命令与文本编辑器vi,Linux的文件系统,Linux下硬件管理,用户和组的管理,Linux下软件的安装与管理,Linux网络基础与网络服务的管理,打印服务器,文件服务器NFS与samba,引导服务器dhcp和NIS, LINUX高级企业服务器管理课程结构,LINUX高级企业服务器管理,Dns服务器,apache服务器,Mail服务器,ftp服务器,Ldap服务器,远程管理工具,Mysql数据库,Iptables与代理服务器,Linux系统
2、的自动化任务,Linux下数据备份与恢复,Linux内核编译与shell基础, LINUX高级企业服务器管理课程结构,LINUX高级企业服务器管理(续),常用命令参考(附录),第18章 Iptables与代理服务器(上),本章学习目标 了解iptables的工作原理 掌握防火墙的常用参数 掌握防火墙的基本配置,防火墙简介,什么是防火墙防火墙就是管理流经网络的资料封包的一种机制它主要通过对网络封包的包头进行分析,来决定封包是否可以流经本机 防火墙种类 以设备划分:1):软件防火墙软件防火墙就是保护计算机的一套软件,装在计算机里面, 以提供保护计算机的功能。如用Linux主机架设一个防火墙2):硬
3、件防火墙硬件防火墙主要是由厂商设计好的硬件,里面有自己的操作系统,以提供封包过滤机制,故性能较佳。,防火墙简介,以技术划分 1):包过滤型 主要依据是网络中的分包传输技术。包过滤技术的优点是简 单实用,实现成本较低 2):网络地址转换将封包中的来源或者目的IP进行更改,可以使私有网络连上互连网3):代理性防火墙可以代理客户端将需要的资料进行查找并返回给客户端,安 全性较高,但是性能要求较高4):监测型防火墙可以对各个网络层进行主动的数据分析,安全性极高,但性能要求很高,Linux下的防火墙机制,Linux下的防火墙软件Linux防火墙直接由内核进行处理,安全性高不同的Linux内核使用的防火墙
4、机制内核版本 使用的软件2.0 ipfwadm2.2 ipchains 2.4 与 2.6 iptables,iptables防火墙框架图,iptables结构,表iptables是由几张表所组成,每张表又由几条链组成,每张表负责不同的封包处理机制,每条链负责不同的封包走向,具体采取的策略由链里的规则设定 filter表: 用于过滤封包 Nat表 : 用于做地址转换 链 INPUT链: 存在于filter表,主要用于处理进入本机的封包 OUTPUT链: 存在于filter表,主要用于处理离开本机的封包 FORWARD链: 存在于fileter表,主要用于处理穿过本机的封包 PREROUTING
5、: 存在于nat表,主要用于修改目的地址(DNAT) POSTROUTING: 存在于nat表,主要用于修改来源地址(SNAT),iptables的相关文件,防火墙配置保存文件 /etc/sysconfig/iptables防火墙配置保存命令 service iptables save防火墙的启动/停止/重启 service iptables start service iptables stot service iptables restart,iptables标准语法,iptables -t table 命令 chain rules -j target table指定表明 命令对链的操作命
6、令 chain链名 rules规则 target动作如何进行,iptables命令概述,查看命令iptables L 列出当前的table的规则iptables -v 列出通过相关规则的封包的详细的参数操作命令 -A 链名 追加一条规则(默认添加到最后)例如:iptables -A INPUT s 192.168.10.239 j DROP,iptables命令概述,操作命令 -I 链名 规则号码 插入一条规则例如:iptables I INPUT 2 -s 192.168.10.239 -j DROP -D 链名 规则号码 | 具体规则内容 删除一条规则例如:iptables -D INPU
7、T 2或者:iptables -D INPUT -s 192.168.10.239-j DROP,iptables命令概述,操作命令 -P 链名 动作设置某条链的默认规则例如:iptables -P OUTPUT DROP-F 链名清空规则例如:iptables -F,iptables命令概述,操作命令 按网络接口匹配-i eth0 匹配数据进入的网络端口-o eth0 匹配数据流出的网络端口 按来源目的地址匹配-s ip 匹配来源IP-d ip 匹配目的IP例如:iptables -A INPUT -i eth0 s 192.168.10.239 j DROP,iptables命令概述,操作
8、命令 按协议匹配协议可以是TCP,UDP,ICMP,也可以不加例如:iptables A INPUT -p tcp -s 192.168.10.239 -j ACCEPT 按来源目的端口匹配-sport 来源端口-dport 目的端口例如:iptables -A INPUT -p tcp -sport 21 -j DROP,iptables命令概述,操作命令 按协议匹配协议可以是TCP,UDP,ICMP,也可以不加例如:iptables A INPUT -p tcp -s 192.168.10.239 -j ACCEPT 按来源目的端口匹配-sport 来源端口-dport 目的端口例如:ip
9、tables -A INPUT -p tcp -sport 22 -j DROP,iptables命令概述,操作命令 动作处理-j ACCEPT 允许封包通过而不拦截-j DROP 不允许封包通过,防火墙基本配置,查看防火墙的默认规则,防火墙基本配置,更改防火墙内置链的默认策略并查看,防火墙基本配置,允许指定的远程主机测试,总结,linux下的防火墙的工作在OSI模型的第几层 iptables的哪个表是防火墙 iptables的基本操作命令,上机实验,防火墙的基本操作 熟悉常用参数的使用 查看系统默认的防火墙规则 改变内置链的默认策略 允许指定的主机 拒绝指定的主机,作业,防火墙相关文件的查看 防火墙相关命令的使用 防火墙的基本操作 熟悉常用参数的使用 查看系统默认的防火墙规则 改变内置链的默认策略 允许指定的主机 拒绝指定的主机,课堂提问时间,
