第章Linux透明代理服务器.ppt

3.3Squid的设置 设置完成之后，重新启动squid服务，使squid.conf配置文件生效 Squid服务启动后，使用netstat命令可以看到squid服务程序在3128端口进行代理服务的监听 Linux安全的透明代理服务器 iptables+squid 1.Iptables和Squid简介 Iptables Squid是一种在Linux系统下使用的优秀的代理服务器软件 Squid是一个高性能的代理缓存服务器，可以加快内部网浏览Internet的速度，提高客户机的访问命中率 1.Iptables和Squid简介 Squid不仅支持HTTP协议，还支持FTP、gopher、SSL和WAIS等协议 Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求 Squid由一个主要的服务程序Squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成 1.Iptables和Squid简介 Squid启动以后，它可以派生出指定数目的dnsserver进程，而每一个dnsserver进程都可以执行单独的DNS查询，这样一来就大大减少了服务器等待DNS查询的时间 1.Iptables和Squid简介 Squid使用访问控制清单（ACL）和访问权限清单（ARL） 访问控制清单和访问权限清单通过阻止特定的网络连接来减少潜在的Internet非法连接，可以使用这些清单来确保内部网的主机无法访问有威胁的或不适宜的站点 2.1项目背景 实验背景 XX公司内部搭建了web服务器和FTP服务器，为了满足公司需求，要求使用Linux构建安全、可靠的防火墙。具体要求如下： 防火墙自身要求安全、可靠，不允许网络中任何人访问；防火墙出问题，只允许在防火墙主机上进行操作 2.1项目背景 公司内部的web服务器要求通过地址映射发布出去，且只允许外部网络用户访问web服务器的80端口，而且通过有效的DNS注册 公司内部的员工必须通过防火墙才能访问内部的web服务器，不允许直接访问 2.1项目背景 FTP服务器只对公司内部用户起作用，且只允许内部用户访问FTP服务器的21和20端口，不允许外部网络用户访问 公司内部的员工要求通过透明代理上网（不需要在客户机浏览器上做任何设置，就可以上网） 内部用户所有的IP地址必须通过NAT转换之后才能够访问外网 2.2项目拓扑 实验拓扑 2.3项目原理 实验原理： iptables默认具有5条规则链： PREROUTING POSTROUTING FORWARD INPUT OUTPUT 2.3项目原理 iptables默认的规则表以及对应的规则链： filter：INPUT、FORWARD和OUTPUT nat：PREROUTING、POSTROUTING和OUTPUT mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD 2.3项目原理 nat表的主要用处是网络地址转换，即Network Address Translation 属于一个流的包只会经过这个表一次 PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址 OUTPUT链改变本地产生的包的目的地址 POSTROUTING链在包就要离开防火墙之前改变其源地址 2.3项目原理 mangle表主要用来mangle数据包 我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记 防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由 2.3项目原理 PREROUTING在包进入防火墙之后、路由判断之前改变包 POSTROUTING是在所有路由判断之后 OUTPUT在确定包的目的之前更改数据包 INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包 FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包 2.3项目原理 filter表是专门过滤包的，内建三个链 FORWARD 链过滤所有不是本地产生的并且目的地不是本地（所谓本地就是防火墙了）的包 INPUT针对那些目的地是本地的包 OUTPUT 是用来过滤所有本地生成的包的 2.3项目原理 3.1项目总体设计 实验思想: 先将进出防火墙的策略设置到最严格，然后一步步添加需要放行的策略 3.2Iptables的设置 Linux下iptables的具体设置: 清空filter表和nat表中的配置策略 iptables -F (INPUT OUTPUT FORWARD)，不加参数，表示全部清除 iptables -F (PREROUTIN