项目配置防火墙与代理服务器.ppt

iptables命令举例 【例6】向filter表中的INPUT链的第3条规则前面插入一条规则，允许来自于非192.168.3.0/24网段的主机对本机的25端口的访问 。 第三十页，共六十一页。 iptables命令举例 【例7】向filter表的INPUT链中添加一条规则，拒绝外界主机访问本机tcp协议的100至1024端口。 第三十一页，共六十一页。 iptables命令举例 【例8】向filter表的INPUT链中添加一条规则，拒绝来自其他主机的ping请求 。 第三十二页，共六十一页。 iptables命令举例 【例9】假设某单位租用DDN专线上网。网络拓扑如下图所示。iptables防火墙的eth0接口连接外网，IP地址为222.206.160.100；eth1接口连接内网，IP地址为192.168.1.1。假设在内网中存在WEB、DNS和E-mail3台服务器，这3台服务器都有公有IP地址。其IP地址如图所示。设置防火墙规则加强对内网服务器的保护，并允许外网的用户可以访问此3台服务器。 第三十三页，共六十一页。 例9的解决方案 //1. 清空所有的链规则 [root@RHEL4 ~]# iptables -F //2. 禁止iptables防火墙转发任何数据包 [root@RHEL4 ~]# iptables -P FORWARD DROP //3. 建立来自Internet网络的数据包的过滤规则 # iptables -A FORWARD –p tcp –d 222.206.100.2 –p tcp --dport 80 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d 222.206.100.3 -p tcp --dport 53 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d 222.206.100.4 -p tcp --dport 25 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d 222.206.100.4 -p tcp --dport 110 -i eth0 -j ACCEPT //4. 接受来自内网的数据包通过 [root@RHEL4 ~]# iptables -A FORWARD –s 222.206.100.0/24 –j ACCEPT //5. 对于所有的ICMP数据包进行限制，允许每秒通过一个数据包，该限制的触发条件是10个包 [root@RHEL4 ~]# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT 第三十四页，共六十一页。 NAT NAT的基本知识 使用iptables实现NAT 第三十五页，共六十一页。 NAT的基本知识 NAT的主要功能： （1）从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。 （2）从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。 （3）支持多重服务器和负载均衡。 （4）实现透明代理 。 第三十六页，共六十一页。 NAT的基本知识 NAT的工作过程： （1）客户机将数据包发给运行NAT的计算机。 （2） NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。 （3）外部网络发送回答信息给NAT。 （4）NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。 第三十七页，共六十一页。 NAT的基本知识 NAT的工作过程示意图： 第三十八页，共六十一页。 NAT的基本知识 NAT的分类： （1）源NAT（Source NAT，SNAT）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。 （2）目的NAT（Destination NAT，DNAT）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。 第三十九页，共六十一页。 使用Iptables实现NAT 用户根据规则所处理的信息包类型，使用iptables命令设置NAT规则： 要做源IP地址转换的数据包的规则被添加到POST