iptables.pptVIP

* 阶段一的指导子阶段 1、教师介绍案例需求 ——公司使用一台运行RHEL5系统的服务器作为网关，分别连接三个网络，其中LAN1为普通员工电脑所在的局域网，LAN2为DNS缓存等服务器所在的局域网。eth0通过10M光纤接入Internet（如下页图所示）。为了有效的管理网络环境及增强内部网络的安全性，需要配置iptables防火墙规则实现基于IP地址和端口的过滤控制 * * 阶段一的指导子阶段 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段一的指导子阶段（续） 3、教师介绍实现思路 注意：本案例主要是让学员熟悉iptables规则设置的语法、防火墙脚本的编写过程等知识。由于SSH、Squid服务在后续章节将会陆续讲到，这里无需验证SSH登录或代理服务的使用。如果有个别优秀学员问题，教员可以提示他自行思考“使用LOG动作来验证访问策略” * 阶段二的指导子阶段 （选作实验） 1、教师介绍案例需求 ——公司最近发现有很多员工在工作期间使用QQ、MSN等工具聊天，严重影响工作效率。为了加强工作纪律管理，公司采取了一些行政手段禁止员工采用类似工具私自聊天，同时要求网络管理员在网关服务器上做相应的技术封锁 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段二的指导子阶段（续） 3、教师介绍实现思路 注意：本案例作为选作案例，仅用于过渡，使学员体会到这种方式的强大和不方便之处，为下一章讲解应用层过滤做铺垫。若中心机房暂时不具备访问Internet的条件，本实验可以从略，但要和学员讲解清楚实现思路 * 本章总结 配置iptables防火墙（一） Linux防火墙基础 Linux防火墙概述 导出、导入防火墙规则 iptables的规则表、链结构 编写防火墙脚本 数据包过滤匹配流程 管理和设置iptables规则 使用防火墙脚本 iptables的基本语法格式 管理iptables规则 条件匹配 数据包控制 * 实验案例1：IP地址及端口过滤 需求描述 入站控制： 允许从Internet访问本机的21、25、80、110、143端口 允许从主机 4 访问本机的22端口（远程登录服务），每15分钟记录一次日志 允许从主机 （MAC地址为00:0C:27:30:4E:5D）访问网关的22端口 允许局域网主机（LAN1：/24）访问本机的3128端口（代理服务） 转发控制： 允许LAN1的主机访问位于LAN2的DNS服务器（） * 实验案例1：IP地址及端口过滤 Internet Linux网关服务器 eth1: /24 eth2: /24 eth0: /24 远程管理工作站 4/24 DNS缓存服务器 /24 局域网（LAN1）PC机 /24 MAC: 00:0C:27:30:4E:5D * 实验案例1：IP地址及端口过滤 需求描述（续） 其他未经明确许可的入站数据包，均予以丢弃 本机出站的数据包均允许 将以上各条防火墙策略，整理为Shell脚本文件 * 实验案例1：IP地址及端口过滤 实现思路 针对实验需求，分别编写iptables规则并进行测试 使用“-s”、“-d”选项指定源、目标IP地址 使用 “--dport”选项指定源、目标端口 在FORWARD链中添加对转发数据包的控制规则 在INPUT链中添加对入站数据包的控制规则 filter表INPUT、FORWARD链的缺省策略设为DROP 将上述各规则整理为防火墙脚本，注意如下内容： 开启路由转发 预先定义网卡、局域网、各接口IP地址等变量 加载额外的iptables模块（如果有的话） 注意各条规则的顺序关系 * 实验案例2：封锁MSN、QQ服务器 需求描述 禁止局域网用户连接QQ服务器、QQ服务程序的端口 禁止局域网用户连接MSN服务器、MSN服务程序端口 * 实验案例2：封锁MSN、QQ服务器 实现思路 获取MSN服务器地址和端口号 使用Sniffer抓包工具获取MSN服务器地址、端口地址等 通过nslookup解析到对应的IP地址（或模糊匹配到网段） 获取QQ服务器地址和端口号 方法同上 编写iptables规则进行测试，以FORWARD链为主 规则测试通过后，将其组织成shell脚本 * * 简单介绍本章的技能展示（目标） * 介绍本章课程的主要内容，明确需要重点关注（红色部分）的内容 * 简单介绍Linux防火墙系列的发展过程即可，注意强调现在所使用的Linux防火墙称谓，具体区别在下一页中讲解 从2.4版本的内核开始，包过滤机制是netfilter，管理防火墙规则的命令工具是iptables * 明确netfilter、iptables的含义和区别，以及习惯上的称呼 同时在这一页中引出