Linux防火墙的配置.pptVIP

项目三：Linux防火墙 实验目的 Linux下的防火墙是iptables/netfilter。iptables是一个用来指定netfilter规则和管理内核包过滤的工具，它为用户配置防火墙规则提供了方便。与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。 本实训通过对Linux系统下的防火墙的配置，达到如下目的： 1、熟悉Linux防火墙的表、链结构。 2、理解数据包匹配的基本流程。 3、管理和设置iptables规则。 4、使用SNAT策略配置共享上网。 5、使用DNAT策略发布企业内网的应用服务。 6、熟练编写iptables防火墙脚本。 7、掌握Linux下常用的网络服务的配置。 任务1 配置必要的网络环境 外网服务器：/24 防火墙内网接口：53/24（eth0） 防火墙外网接口：53/24（eth1） 内网服务器：/24 内网客户机：00/24 验证内网之间，内网与防火墙内网接口，外网服务器与防火墙外网接口可以连通。 启用防火墙的IP包转发功能 Iptables –t nat –A POSTROUTING –s /24 –o eth1 –j SNAT –to-source 53 任务2 配置Windows服务器的常用服务 配置公网的www服务和FTP，实现客户端可以访问公网的web页面以及FTP的基本服务。 任务3 配置内网Linux服务器的常用服务 Iptables –t nat –A PREROUTING -i eth1 –d 53 –p tcp –dport 80 –j DNAT –to-destination :80 iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --sport 80 -j ACCEPT 配置Linux的FTP服务器，并设置防火墙的IP包转发功能，实现通过访问防火墙的公网地址可以访问内网的FTP服务器的匿名下载功能。 Iptables –t nat –A PREROUTING -i eth1 –d 53 –p tcp –dport 21 –j DNAT –to-destination :21 Iptables –t nat –A PREROUTING -i eth1 –d 53 –p tcp –dport 20 –j DNAT –to-destination :20 iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT 任务4 防火墙的包过滤功能设置（filter表） 1、修改防火墙的策略，将包转发设置为拒绝（缺省为ACCEPT）iptables –P FORWARD DROP 2. 修改防火墙的策略，当内网用户用ping命令探测防火墙网关服务器时显示超时。 iptables –A INPUT –i eth1 –p icmp ––icmp-type 8 –j DROP 3、添加防火墙规则，允许内网用户使用公网DNS服务器进行域名解析。 iptables -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -A FORWARD -p udp --sport 53 -j ACCEPT 4、添加防火墙规则，允许内网用户使用公网Web服务进行网页浏览。 * * 实验拓扑： Win2003 /24 外网服务器 内网接口IP（eth0）： 53/24 外网接口IP（eth1）： 53/24 00/24 /24 IP地址分配方案： 防火墙内网接口地址： 防火墙内网接口地址： 内网服务器IP地址： 内网客户机IP地址： 外网服务器IP地址： 设置源地址转换，使得内网客户机能够访问外网的服务器 配置NDS服务器: 配置Linux的Web服务器，并设置防火墙的IP包转发功能，实现通过访问防火墙的公网地址可以访问内网的Web服务器