Red Hat Linux 9系统管理(第二版) 作者 978-7-302-14776-3 CH21.PPTVIP

第21章 Linux防火墙配置 教学目标 本章主要介绍了Linux下包过滤防火墙的设置方法，内容包括Iptables的基本概念、Iptable的基本语法规则以及Iptables包过滤防火墙的配置等 教学重点 了解和熟悉Iptables的基本概念 了解和熟悉Iptable的基本语法规则 掌握Iptables包过滤防火墙的配置方法 教学过程 Iptables的基本概念 Iptable的基本语法规则 Iptables包过滤防火墙的配置方法 21.1 Iptables简介 iptables是一个用来指定netfilter规则和管理内核包过滤的工具，它为用户配置防火墙规则提供了方便 Iptables/netfilter组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能 Iptables的基本功能 iptables可以加入、删除或插入核心包过滤表格中的规则，它的基本作用有： (1) 建立Internet防火墙和基于状态的包过滤。 (2) 用NAT和伪装(masquerading)共享上网。 (3) 用NAT实现透明代理。 (4) 和tc+iproute2配合使用可以实现QOS路由。 (5) 可用(mangling)修改IP包头的TOS字段来实现更复杂的功能。 (6) 对各种网络地址进行翻译。 21.2 Iptables和Ipchains语法比较 iptables中的指令均需区分大小写 在iptables中，需要指定规则是作用在哪一个规则表上，若不指定，则预设是作用在filter这个表上 在ipchains中，–i是指网络接口(interface)，但在 iptables 中，“-i ”则是指输入接口，“-o”代表输出接口 在iptables中，“丢弃”的处置动作，不再使用 DENY，而改用DROP iptables可以在列表显示单个链的同时将其清空 21.3 Iptables语法规则 iptables的工作原理是通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤 表(table) 命令(command) 匹配(match) 目标(target) 21.3.6 Iptables使用实例 查看机器上有关于iptables的设定情况 打开核心 forward 功能 清除所有的规则 设定 filter table 的预设策略 设定 filter table 的预设策略，预设全部接受 开放网络接口 IP伪装 虚拟主机 21.4 配置iptables包过滤防火墙 某个单位拥有有效的Internet分配的IP地址，IP地址范围是/24，即一个C类IP段。这里我们用一台Linux主机配置包过滤防火墙来增强内部网络的安全，并假设该Linux主机的两个网络接口的IP地址如下：eth0的IP地址是54，用来连接内网(本单位网)。eth1的IP地址是54，用来连接外网(Internet) 建立相应的脚本文件 刷新所有链的规则 首先禁止转发任何包，然后再一步步设置允许通过的包 设置关于服务器的包过滤规则 设置针对Intranet客户的过滤规则 接受来自整个Intranet的数据包过滤 处理ip碎片 设置icmp包过滤 执行脚本，使配置生效 * Red Hat Linux 9系统管理(第二版) 清华大学出版社 Red Hat Linux 9系统管理(第二版) 清华大学出版社 教学目标 教学重点 教学过程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： * * * Red Hat Linux 9系统管理(第二版) 清华大学出版社