- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
{安全生产管理}网关及安全应用配置防火墙二理论课讲义焦可伟
《linux网关及安全应用》理论课教案
第3章(配置iptables防火墙二)
TOC \o 1-3 \h \z \u 《linux网关及安全应用》理论课教案1
一.课程回顾1
二.本章工作任务(问题列表)1
三.本章技能目标2
四.本章重点难点2
4.1课程重点2
4.2课程难点2
五.整章授课思路 [100分钟]2
5.1本章授课思路:2
5.2预习检查、任务、目标部分 [10分钟]2
5.3 技能点讲解[80分钟]3
5.4 总结 [6分钟] 采用提问方式,注意引导学员回答重点即可!7
六. 布置作业:[4 分钟]8
6.1本章作业8
6.2 作业的提交方式与要求8
6.3 课后习题答案8
七.习题8
课时:2学时
授课人:焦可伟
课程回顾
iptables与netfilter的作用及区别是什么?
iptables命令的语法格式包括哪些组成部分?
若设置iptables规则时未指定表名,默认使用哪个表?
设置显式匹配条件时,需要注意什么?
防火墙对数据包的常见处理方式包括哪些?
二.本章工作任务(问题列表)
公司使用Linux系统作为网关服务器,应如何设置才能使局域网用户接入Internet?
公司申请的唯一公网IP地址已被Linux网关服务器使用,而网站服务器在局域网内的另一台机器,在网关上应如何配置才能让Internet上的客户端访问该网站服务器?
在网关服务器上应做哪些设置,以便在家里也能通过Internet远程管理公司内部的服务器?
在Linux网关服务器上,如何限制内网用户使用QQ、MSN以及BT下载等?
三.本章技能目标
会使用SNAT策略配置共享上网
会使用DNAT策略发布企业内网的应用服务
会为Linux防火墙增加应用层过滤功能
四.本章重点难点
4.1课程重点
SNAT策略及其应用
DNAT策略及其应用
使用Layer7应用层过滤
4.2课程难点
SNAT的原理
DNAT的原理
重新编译Linux内核
(强调:这个知识点即是重点也是难点,需要在课上强调)
五.整章授课思路[100分钟]
5.1本章授课思路:
本章主要以案例的形式讲述iptables防火墙的几种典型企业应用:(1)、局域网共享上网;(2)、Internet中发布内网服务器;(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。
先讲解原理,再演示案例。
章节内容共分三个小节。
5.2预习检查、任务、目标部分[10分钟]
1)预习检查:(2分钟)
Iptables的典型应用有哪些?
什么是SNAT
什么是DNAT
Linux内核编译的概念
2)技能目标讲解:(4分钟)
会使用SNAT策略配置共享上网
会使用DNAT策略发布企业内网的应用服务
会为Linux防火墙增加应用层过滤功能
3)课程结构:(4分钟)
5.3技能点讲解[80分钟]
1)SNAT策略及应用[20分钟]
a)引入:介绍企业局域网接入Internet的需求,来引出iptables的应用SNAT。
b)讲解要点:
SNAT策略的应用环境(通过SNAT实现共享上网)
SNAT策略的原理
通过SNAT实现MASQUERADE(IP地址伪装),主要强调在整个过程中,数据包在数据流中的变化。
重点是MASQUERADE的作用和特点。
SNAT策略的应用
SNAT典型应用于局域网共享上网的接入,而处理数据包的切入时机,主要选择在路由选择之后(POSTROUTING)进行。
SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。
SNAT只能用于NAT表的POSTROUTING链。
网关使用动态公网IP地址的情况
如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为ppp0、ppp1等
c)课堂案例:
案例一:SNAT应用
iptables-tnat-APOSTROUTING-s/24
-oeth0-jSNAT--to-source1
案例二:网关使用动态公网IP地址的情况
2)DNAT策略及应用[20分钟]
a)引入:介绍在Internet中发布内网应用服务器的需求,引出DNAT的应用。
b)讲解要点:
DNAT策略的应用环境
在Internet中发布位于企业局域网内的服务器。
DNAT策略的原理
目标地址转换,DestinationNetworkAddressTranslation;
修改数据包的目标IP地址;
DNAT策略的应用
通过DNAT策略同时修改目标端口号
使用形式:
只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可,即:
-jDNAT--to-destination目标IP:目标端口
c)
文档评论(0)