网络服务器配置与管理课件第16章Linux路由防火墙.ppt

第16章 Linux路由防火墙 Linux篇 * * 本讲要点 内容介绍 本章节介绍了Linux系统实现带有防火墙功能的路由功能。重点讲解了启用路由后，讲解了网络数据包如何通过过滤的操作命令，及其命令iptables的语法及其各个参数选项，并以举例的形式讲解了常用的配置方法。 * * 典型Linux路由防火墙示意图 * 虚线实现了端口映射 图16-1 典型的Linux路由防火墙应用 链表数据流图 * 路由防火墙功能配置概要说明 开启路由功能echo “1” /proc/sys/net/ipv4/ip_forward，也可以配置/etc/sysctl.conf内容 1.掌握iptables 的命令方式的，自建立防火墙过滤功能，并了解iptables所依赖的Centos操作系统的netfilter的模块，在/lib/modules目录下寻找到 2.掌握Centos系统自带了防火墙配置功能， 在CentOS7 及以上版本中，Linux系统默认采用firewalld的管理方式，能够通过firewall-cmd命令进行维护和管理防火墙规则。 * systemctl stop firewalld 关闭firewalld的守护进程，停用firewall-cmd的操作 systemctl start iptables 开启iptables的守护进程 systemctl stop iptables 停止iptables的守护进程 service iptables save 可以保存iptables命令添加的规则到/etc/sysconfig/iptables 由于配置很灵活，需要结合教材，参考（搜索百度或必应）更多的资料 * 小结 本文详细讲解了iptables的使用。如果要让Linux具有IP数据转发功能，就必须使用命令echo “1” /proc/sys/net/ipv4/ip_forward完成路由转发开关设定。iptables通过NAT功能实现内网共享上网，同时还可以采用地址和端口映射功能，解决外部网主机间接访问内网指定的主机服务的问题。 iptables的命令语法格式与其他的系统命令有很多不同，主要体现在组合复杂。使用iptables的时候，注意对什么表操作，有filter、nat等；对什么链操作，有INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING等，其中INPUT和OUTPUT为解决Linux主机本地安全的保护链，其他的完成路由和NAT功能；需要什么样的匹配和目标。最终，我们使用iptables的时候，需要主机表、链、匹配和处理目标相关结合来完成网络数据包的处理。 * * 实践练习： 1．采用Linux作为路由器，能够完全转发所有IP数据，如何设置？ 2．采用Linux作为路由防火墙，如何设定拒绝所有访问Linux本地主机的数据包，以保护Linux系统本身安全。 3．采用iptables设定防火墙规则，要求如下： (1) 拒绝192.168.10.22主机从eth2接口访问本地Linux主机。 (2) 只允许子网192.168.1.0/24和192.168.2.0/24能够访问本地Web服务80端口。 4．如何实现一个企业共享ADSL上Internet网络，要求如下： (1) Linux作为出口路由防火墙，能够ADSL拨号。 (2) 将企业内网所有的主机NAT转换后上Internet网。 (3) 将Internet网主机访问ADSL的ppp0接口、80端口，即访问内网主机192.168.1.8的Web服务器。 (4) 实现员工能够外出利用Internet网络远程接入公司内网的Windows VPN服务器。 5．如何在Linux路由防火墙上实现智能DNS服务，解决内网不知道DNS服务的情况？ * *