第18章Linux防火墙及应用.pptVIP

第18章 Linux防火墙及应用 18.1 Linux防火墙 18.2 Linux作为ADSL拨号网关 18.3 在Linux中配置PPTP服务器 18.1 Linux防火墙 18.1.1 iptables的介绍 在Linux中主要的防火墙配置工具是iptables。不同的iptables命令可以连接起来。每个命令可以阻止或者运行特定的数据链接。它基本上是用于建立、维护内核种IP包过滤的表。 在iptables的命令中，可以分别定义数据包的进、出和通过。也就是说，利用iptables可以控制数据包的进入、离开和通过，这样，如果Linux主机连接有多个网络的话也可以控制数据包从这个网络到另外一个网络。 18.1.2 iptables防火墙链 在iptables中若干表被定义，每个表包含了若干链，用户可以自定义的链。每条链是一组用于匹配数据报的规则。每个规则规定了被匹配的数据报怎么处理，这叫作目标。当一个数据报进入了一条链时，由链中的第一条规则对包进行匹配。当和一条规则匹配时，执行规则所规定的。如果不被匹配，继续下一条规则，直到链的末尾。由最后一条链指定包的命运，默认为accept。一般用户自己在最后一条规则指定为deny all，如图18-1所示。 目前，有四个链分别为INPUT、PORWORD、OUTPUT和RH-Lokkit-0-50-INPUT，最后一个是链是redhat的默认配置。 图18-1 18.1.3 iptables格式 iptables命令的内容非常丰富，在本书中只是找几个重要的选项来说明。 iptables的格式如下： #iptables –t tables option pattern –j target -t 是选择表，在Linux中，有两个表filter和nat。filter表示可以阻止或者允许特定类型的的网络通讯流。Nat则表示支持和伪装相关的地址转换。默认是选择filter，所有经常添加防火墙规则的时候不需要指定表。 18.1.4 iptables选项 下面列出iptbales的一些基本选项： -A 在链尾添加一条规则。 -I 插入规则。 -D 删除规则。 -R 替代一条规则。 -L 列出规则。 -F 清空一张表。 -Z 计数器致零。 -N 新建一条链。 -X 删除一条链。 18.1.5 防火墙的模式 在防火墙模式中，有一些基本参数如下： -p 指定协议(tcp/icmp/udp/...)。 -s 源地址(ip address/masklen)。 -d 目的地址(ip address/masklen)。 -i 数据报输入接口 (interface)。 -o 数据报输出接口。 -m 检查匹配数据，可以是tcp与udp之类协议，也可以是是极限之类的条件。 -p tcp/udp/icmp 指定用什么协议封装的包。 --dport (--destination-port)目的端口必须和 -p tcp/udp同时使用。 --sport (--source-port)源地址端口必须和 -p tcp/udp同时使用。 --icmp-type 必须和 -p icmp参数一起使用。 --tcp-flags 检查tcp标志位。 18.1.6 防火墙的动作 防火墙的动作可以有如下几条： ACCEPT：接收该数据报。 DROP：丢弃该数据报。 REJECT：丢弃数据报，并返回信息。 REDIRECT：对数据报进行重定向。 QUEUE：排队该数据报到用户空间。 RETURN：返回到前面调用的链。 LOG：在/var/log/message中登记匹配记录。 18.1.7 地址转换 在表nat中包含三个内建PREROUTING、POSTROUTING和OUPUT。 下面归纳一些nat的一些参数： NAT (Netword Address Translation) 还有几个扩展的target。 SNAT (Source Nat)对数据报进行源地址转换。 DNAT (Destination NAT)对数据报进行目的地址转换。 MASQUERADE 对数据报进行伪装。 18.1.8 一个完整的例子 1. 环境 2. 准备工作 3. 启动iptables 4. 编辑iptables脚本 5. 透明代理配置 6. 补充 18.2 Linux作为ADSL拨号网关 18.2.1 Linux作为ADSL拨号网关要解决的问题 Linux作为ADSL拨号网关要解决两个问题。一是让Linux能拨号；二是能让内部地址转换成为Internet地址，解决内部地址上网的问题。 18.2.2 网络结构 18.2.3 配置ADSL拨号 1. 配置网卡 这里设计服务器的eth0为外网卡、eth1为内网