防火墙与代理服务器.ppt

15.4 squid代理服务器 15.4.4 配置squid服务器 总结 本项目的解决方案: //1. 清空所有的链规则 [root@Server ~]# iptables -F //2. 禁止iptables防火墙转发任何数据包 [root@Server ~]# iptables -P FORWARD DROP //3. 建立来自Internet网络的数据包的过滤规则 # iptables -A FORWARD –p tcp –d –p tcp --dport 80 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d -p tcp --dport 53 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d -p tcp --dport 25 -i eth0 -j ACCEPT # iptables -A FORWARD –p tcp –d -p tcp --dport 110 -i eth0 -j ACCEPT //4. 接受来自内网的数据包通过 [root@Server ~]# iptables -A FORWARD –s /24 –j ACCEPT //5. 对于所有的ICMP数据包进行限制，允许每秒通过一个数据包，该限制的触发条件是10个包 [root@Server ~]# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT 作业1 根据如下防火墙配置的需求,写出配置命令: 设置filter表中3个链的默认策略为拒绝 查看所有链的规则列表 添加一个用户自定义的链custom1 向filter表的INPUT链的最后添加一条规则，对来自0这台主机的数据包丢弃 向filter表中的INPUT链的第3条规则前面插入一条规则，允许来自于非/24网段的主机对本机的25端口的访问 作业2 John计划在他的局域网建立防火墙，防止Internet直接进入局域网， 反之亦然。在防火墙上他不能用包过滤或SOCKS程序. 而且他想要提供给局域网用户仅有的几个Internet服务和协议,请选择合适的防火墙,并写出配置过程 假设要控制来自IP地址6的ping命令，请写出iptables命令 如果想要防止/24网络用TCP分组连接端口21， 请写出iptables命令 本章小结 防火墙的分类及工作原理 Iptables防火墙的配置 NAT SQUID代理服务器的配置 透明代理的实现 一、录像位置 /linux/kcweb/qcsysp.asp 二、项目实训目的 能熟练完成利用Iptables架设企业NAT服务器。 能熟练完成企业Squid代理服务器的架设与维护。 三、教材网站 /show/3250.html 项目实录 * * 15.3 NAT 15.3.1 NAT的基本知识 NAT的工作过程示意图： 15.3 NAT 15.3.1 NAT的基本知识 NAT的分类： （1）源NAT（Source NAT，SNAT）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。 （2）目的NAT（Destination NAT，DNAT）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。 15.3 NAT 15.3.2 使用Iptables实现NAT 用户根据规则所处理的信息包类型，使用iptables命令设置NAT规则： 要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。 要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。 直接从本地出去的数据包的规则被添加到OUTPUT链中。 15.3 NAT 15.3.2 使用Iptables实现NAT 数据包穿越NAT的工作流程示意图： 15.3 NAT 15.3.2 使用Iptables实现NAT 【例15-10】假设某企业网中NAT服务器安装了双网卡，eth0连接外网，eth1连接内网，IP地址为。企业内部网络的客户机都只有私有IP地址。利用NAT服务使企业内部网络的计算机能够连接Internet网络。 15.3 NAT 15.3.2 使用Iptables实现NAT 假设eth0的IP地址是静态分配的。公网IP地址池为00-50 。此时