iptables+squid经典配置实例.docVIP

iptables+squid经典配置实例,squid经典配置实例,iptables经典配置实例 2011-04-05 11:59:02|??分类： mem_squid_porxy |??标签： |字号大中小?订阅 ?iptables+squid经典配置实例 ? 实验背景 ???? 小诺公司内部搭建了web服务器和FTP服务器，为了满足公司需求，要求使用Linux构建安全、可靠的防火墙。具体要求如下： 1、 防火墙自身要求安全、可靠，不允许网络中任何人访问；防火墙出问题，只允许在防火墙主机上进行操作。 2、 公司内部的web服务器要求通过地址映射发布出去，且只允许外部网络用户访问web服务器的80端口，而且通过有效的DNS注册。 3、 公司内部的员工必须通过防火墙才能访问内部的web服务器，不允许直接访问。 4、 FTP服务器只对公司内部用户起作用，且只允许内部用户访问FTP服务器的21和20端口，不允许外部网络用户访问。 5、 公司内部的员工要求通过透明代理上网（不需要在客户机浏览器上做任何设置，就可以上网） 6、 内部用户所有的IP地址必须通过NAT转换之后才能够访问外网。 ? 实验网络拓扑图 ? ? 实验原理： ----------------netfilter/iptables架构--------------------- ? iptables默认具有5条规则链：PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUT ? iptables默认的规则表以及对应的规则链： filter：INPUT、FORWARD和OUTPUT。 nat：PREROUTING、POSTROUTING和OUTPUT。 mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD。 ? nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因，对这一点，后面会有更加详细的讨论。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址。 ? mangle表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： PREROUTING，POSTROUTING， OUTPUT，INPUT和 FORWARD。PREROUTING在包进入防火墙之后、路由判断之前改变包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包。注意，mangle表不能做任何NAT，它只是改变数据包的 TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中操作的。 ? filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作。FORWARD 链过滤所有不是本地产生的并且目的地不是本地（所谓本地就是防火墙了）的包，而 INPUT恰恰针对那些目的地是本地的包。OUTPUT 是用来过滤所有本地生成的包的。 ? 实验步骤： ? 实验思想：先将进出防火墙的策略设置到最严格，然后一步步添加需要放行的策略。 ? 一、Linux下iptables的具体设置 ? 1、 清空filter表和nat表中的配置策略。 清空所选的系统表filter中的默认链(不影响默认策略)：iptables -F (INPUT OUTPUT FORWARD)，不加参数，表示全部清除 清空所选的系统表nat中的默认链(不影响默认策略)：iptables -F (PREROUTING、POSTROUING、OUTPUT) –t nat ，不跟参数，表示全部清除 删除表中的自定义规则链：iptables -X 自定义规则链名1、链名2.... 指定链的所有计数器归零：iptables -Z (INPUT O