代理服务器与防火墙
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
命令格式: iptables [-t table] -X [chain]
Page 24/47
iptables命令的使用6-4
添加规则
命令格式 iptables [-t table] -A chain rulespecification [options] 在INPUT规则链中添加规则,允许来自“lo”网络接口 中所有数据包 # iptables -A INPUT -i lo -j ACCEPT 在INPUT规则链中添加规则,允许“eth0”网络接口中 来自“192.168.1.0/24”子网的所有数据包 # iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
Page 5/47
代理服务的应用原理
代理服务器工作在TCP/IP的应用层
客户程序 应用层 传输层 网络层 链路层 上层程序 应用代理 传输层 网络层 链路层 服务程序 应用层 传输层 网络层 链路层
受保护客户端
代理服务器
外部网络
Page 6/47
网络层防火墙
网络防火墙软件的主要功能
对进入和流出的IP数据包进行过滤,屏蔽不符合要求 的数据包,保证内部网络的安全 提供数据包的路由选择,实现网络地址转换(NAT), 从而解决局域网中主机使用内部IP地址也能够顺利访 问外部网络的应用需求
netfilter/iptables的典型应用
作为主机防火墙实现外部网络与主机之间的访问控制 作为网络防火墙提供外部网络与内部网络的访问控制 作为网关服务器实现网络地址转换(NAT)功能,实 现内部网络通过网关主机共享访问外部网络
netfilter/iptables可以在Linux系统中实现网络防 火墙的各种常用功能
Page 22/47
iptables命令的使用6-2
iptables中缺省包括3个规则表
filter nat mangle
iptables命令可查看规则表的内容
基本语法 iptables [-t table] -[L] [chain] [options] 不指定表名称时查看filter表的内容 # iptables -L 查看指定的规则表 # iptables -t nat -L
Page 1/47
第7章
代理服务器与防火墙
Version 2.0
本章目标
了解防火墙和代理服务器的基本概念
掌握Linux系统中的防火墙管理 掌握squid代理服务器管理
Page 3/47
本章结构
应用层代理 基本概念 网络层防火墙
iptables基本原理
代理服务器与 防火墙 iptables iptables的基本配置管理 防火墙配置实例
squid服务器的基本功能 缓存代理squid squid服务器的配置管理 网页浏览器的代理设置
Page 4/47
应用层代理
应用层代理的基本概念
应用层代理针对特定的网络协议提供代理服务 HTTP代理和FTP代理是应用层代理的典型应用
使用代理服务器可以解决的问题
局域网中的所有主机都可以通过同局域网中具有互联网 访问能力的代理服务器主机进行外部网络的访问 代理服务器对已经访问过的内容提供缓存,可有效的减 少对外部网络的访问流量,并能够提高频繁访问的页面 的访问效率 通过代理服务器可以进行一定程度的访问控制,可以对 客户端和被访问页面进行控制
Page 10/47
iptables规则链
iptables缺省具有5条规则链
PREROUTING FORWARD POSTROUTING
INPUT
OUTPUT
上层应用程序(接收或发送网络数据)
Page 11/47
iptables规则表
iptables缺省具有3个规则表
Filter:用于设置包过滤 NAT:用于设置地址转换 Mangle:用于设置网络流量整形等应用
防火墙的类型
硬件防火墙是功能专一的硬件设备,价格昂贵 软件防火墙的功能是由计算机中的软件实现的,具有 相当大的价格优势
Page 7/47
网络层防火墙的应用原理
网络防火墙工作在TCP/IP的网络层
客户程序 应用层 传输层 网络层 链路层 上层程序 应用代理 传输层 网络层 链路层 服务程序 应用层 传输层 网络层 链路层
Page 14/47
iptables服务的启动与停止
iptables服务启动脚本
/etc/rc.d/init.d/iptables
iptables配置文件与策略设置文件
iptables配置文件
/etc/sysconfig/iptables-config
策略设置文件
/etc/sysconfig/iptables
iptables服务的启动与停止
iptables服务缺省自动启动 可通过启动脚本手工启动和停止iptables服务
# service iptables start
Page 15/47
查看防火墙的基本状态
查询防火墙的状态
使用iptables命令查询防火墙状态
# iptables -L
destination
destination
Page 16/47
使用iptables命令进行策略设置
iptables命令是对防火墙配置管理的核心命令
iptables命令提供了丰富的功能,可以对Linux内核中 的netfilter防火墙进行各种策略的设置 iptables命令的设置在系统中是即时生效的 使用iptables命令手工进行的防火墙策略设置如果不进 行保存将在系统下次启动时丢失
iptables脚本的save命令可以保存防火墙配置
# service iptables save
配置内容将保存在“/etc/sysconfig/iptables” 文件中,文件原有的内容将被覆盖
Page 20/47
使用防火墙的配置工具
RHEL4中提供了防火墙配置程序
运行防火墙配置工具
Page 26/47
iptables命令的使用6-6
设置内置规则链的缺省策略
命令格式
iptables [-t table] -P chain target [options]
只有内建规则链才能够设置“缺省策略” 将INPUT规则链的缺省策略设置为“DROP” # iptables -P INPUT DROP 将规则链的缺省策略的缺省策略设置为“DROP”,然 后在逐个添加允许通过的规则是比较严谨的规则设置 方法
# system-config-securitylevel-tui
在防火墙配置工具设置后会即时生效,并将设置保存 到“/etc/sysconfig/iptables”文件中
Page 21/47
iptables命令的使用6-1
iptables命令的操作对象包括
规则表(table)由规则链的集合组成,不同的规则表 用于实现不同类型的功能 规则链(chain)由规则的集合组成,保存在规则表中; 在规则表中不同的规则链代表了不同的数据包流向 规则(rule)是最基本的设置项,用于对防火墙的策略 进行设置;流经某个数据链的数据将按照先后顺序经 过规则的“过滤”
Page 13/47
iptables的软件包组成
RHEL4中的iptables软件包
# rpm -q iptables iptables-1.2.11-3.1.RHEL4
iptables软件包中的管理命令
iptables是主要的管理命令,对网络防火墙功能的管理 都是通过iptables命令实现的 iptables-save命令可以将当前系统中的防火墙设置进 行保存 iptables-restore命令可以将使用iptables-save命令保 存的防火墙策略配置恢复到当前系统中
外部网络
网络层防火墙
受保护网络
Page 8/47
Linux中代理服务和防火墙的实现
Linux中使用软件实现代理和防火墙功能
使用netfilter/iptables架构实现网络防火墙的基本功能 使用squid服务器软件实现HTTP服务的代理功能
Page 9/47
Linux防火墙软件的发展与实现
Page 17/47
使用iptables-save命令保存设置
iptables-save命令提供了防火墙配置的保存功 能
iptables-save命令缺省只将配置信息显示到标准输 出(屏幕)中
# iptables-save
如果需要将iptables-save命令的输出保存,需要将 命令输出结果重定向到指定的文件中
# iptables-restore < ipt.v1.0
iptables-restore命令可快速恢复指定版本的防火墙配 置
ቤተ መጻሕፍቲ ባይዱ
Page 19/47
使用iptables脚本保存防火墙设置
iptables脚本可以保存当前防火墙配置
在保存防火墙当前配置前应先将原有配置进行备份
# cp /etc/sysconfig/iptables iptables.raw
# iptables-save > ipt.v1.0
使用iptables-save命令可以将多个版本的配置保存 到不同的文件中
Page 18/47
使用iptables-restore命令恢复设置
iptables-restore命令可恢复防火墙设置
iptables-restore命令可恢复使用iptables-save命令保 存的防火墙设置内容 iptables-restore命令从标准输入或输入重定向文件中 获取防火墙的设置内容
Linux中的防火强功能是由内核实现的
在2.0内核中,网络防火墙的操作工具名称是ipfwadm 在2.2内核中,网络防火墙的操作工具名称是ipchains 在2.4之后的内核中,网络防火墙的操作工具名称是 iptables
netfilter与iptables
在Linux的内核中使用netfilter架构实现防火墙功能 iptables是Linux系统中为用户提供的netfilter管理工 具,用于实现对Linux内核中网络防火墙的管理
第6章内容回顾
SMTP、POP3和IMAP是邮件系统中使用的网络 协议,可实现邮件的发送和收取 Sendmail是RHEL4系统中缺省安装使用的邮件 服务器 dovecot服务器可提供pop3和imap4服务 通过OpenWebmail提供的界面用户可以使用浏 览器管理邮箱和收发邮件 使用Sendmail、dovecot和OpenWebmail可以 构建完整的邮件应用系统
Page 25/47
iptables命令的使用6-5
删除规则
命令格式 iptables [-t table] -D chain rulespecification [options] 删除规则的iptables命令与添加规则的命令格式类似 删除INPUT规则表中已有的规则 # iptables -D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
Page 23/47
iptables命令的使用6-3
清空表中的规则
命令格式: iptables [-t table] -F [chain] [options]
清空filter表中的所有规则 # iptables -F
清空nat表中的所有规则 # iptables -t nat -F
删除表中的自定义规则链
不同的规则表由不同的规则链组成
Filter:INPUT、FORWARD、OUTPUT NAT:PREROUTING、POSTROUTING、OUTPUT Mangle:PREROUTING、POSTROUTING、INPUT、 OUTPUT和FORWARD
Page 12/47
netfilter/iptables的典型应用
Chain INPUT (policy ACCEPT) target prot opt source Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source destination
Page 24/47
iptables命令的使用6-4
添加规则
命令格式 iptables [-t table] -A chain rulespecification [options] 在INPUT规则链中添加规则,允许来自“lo”网络接口 中所有数据包 # iptables -A INPUT -i lo -j ACCEPT 在INPUT规则链中添加规则,允许“eth0”网络接口中 来自“192.168.1.0/24”子网的所有数据包 # iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
Page 5/47
代理服务的应用原理
代理服务器工作在TCP/IP的应用层
客户程序 应用层 传输层 网络层 链路层 上层程序 应用代理 传输层 网络层 链路层 服务程序 应用层 传输层 网络层 链路层
受保护客户端
代理服务器
外部网络
Page 6/47
网络层防火墙
网络防火墙软件的主要功能
对进入和流出的IP数据包进行过滤,屏蔽不符合要求 的数据包,保证内部网络的安全 提供数据包的路由选择,实现网络地址转换(NAT), 从而解决局域网中主机使用内部IP地址也能够顺利访 问外部网络的应用需求
netfilter/iptables的典型应用
作为主机防火墙实现外部网络与主机之间的访问控制 作为网络防火墙提供外部网络与内部网络的访问控制 作为网关服务器实现网络地址转换(NAT)功能,实 现内部网络通过网关主机共享访问外部网络
netfilter/iptables可以在Linux系统中实现网络防 火墙的各种常用功能
Page 22/47
iptables命令的使用6-2
iptables中缺省包括3个规则表
filter nat mangle
iptables命令可查看规则表的内容
基本语法 iptables [-t table] -[L] [chain] [options] 不指定表名称时查看filter表的内容 # iptables -L 查看指定的规则表 # iptables -t nat -L
Page 1/47
第7章
代理服务器与防火墙
Version 2.0
本章目标
了解防火墙和代理服务器的基本概念
掌握Linux系统中的防火墙管理 掌握squid代理服务器管理
Page 3/47
本章结构
应用层代理 基本概念 网络层防火墙
iptables基本原理
代理服务器与 防火墙 iptables iptables的基本配置管理 防火墙配置实例
squid服务器的基本功能 缓存代理squid squid服务器的配置管理 网页浏览器的代理设置
Page 4/47
应用层代理
应用层代理的基本概念
应用层代理针对特定的网络协议提供代理服务 HTTP代理和FTP代理是应用层代理的典型应用
使用代理服务器可以解决的问题
局域网中的所有主机都可以通过同局域网中具有互联网 访问能力的代理服务器主机进行外部网络的访问 代理服务器对已经访问过的内容提供缓存,可有效的减 少对外部网络的访问流量,并能够提高频繁访问的页面 的访问效率 通过代理服务器可以进行一定程度的访问控制,可以对 客户端和被访问页面进行控制
Page 10/47
iptables规则链
iptables缺省具有5条规则链
PREROUTING FORWARD POSTROUTING
INPUT
OUTPUT
上层应用程序(接收或发送网络数据)
Page 11/47
iptables规则表
iptables缺省具有3个规则表
Filter:用于设置包过滤 NAT:用于设置地址转换 Mangle:用于设置网络流量整形等应用
防火墙的类型
硬件防火墙是功能专一的硬件设备,价格昂贵 软件防火墙的功能是由计算机中的软件实现的,具有 相当大的价格优势
Page 7/47
网络层防火墙的应用原理
网络防火墙工作在TCP/IP的网络层
客户程序 应用层 传输层 网络层 链路层 上层程序 应用代理 传输层 网络层 链路层 服务程序 应用层 传输层 网络层 链路层
Page 14/47
iptables服务的启动与停止
iptables服务启动脚本
/etc/rc.d/init.d/iptables
iptables配置文件与策略设置文件
iptables配置文件
/etc/sysconfig/iptables-config
策略设置文件
/etc/sysconfig/iptables
iptables服务的启动与停止
iptables服务缺省自动启动 可通过启动脚本手工启动和停止iptables服务
# service iptables start
Page 15/47
查看防火墙的基本状态
查询防火墙的状态
使用iptables命令查询防火墙状态
# iptables -L
destination
destination
Page 16/47
使用iptables命令进行策略设置
iptables命令是对防火墙配置管理的核心命令
iptables命令提供了丰富的功能,可以对Linux内核中 的netfilter防火墙进行各种策略的设置 iptables命令的设置在系统中是即时生效的 使用iptables命令手工进行的防火墙策略设置如果不进 行保存将在系统下次启动时丢失
iptables脚本的save命令可以保存防火墙配置
# service iptables save
配置内容将保存在“/etc/sysconfig/iptables” 文件中,文件原有的内容将被覆盖
Page 20/47
使用防火墙的配置工具
RHEL4中提供了防火墙配置程序
运行防火墙配置工具
Page 26/47
iptables命令的使用6-6
设置内置规则链的缺省策略
命令格式
iptables [-t table] -P chain target [options]
只有内建规则链才能够设置“缺省策略” 将INPUT规则链的缺省策略设置为“DROP” # iptables -P INPUT DROP 将规则链的缺省策略的缺省策略设置为“DROP”,然 后在逐个添加允许通过的规则是比较严谨的规则设置 方法
# system-config-securitylevel-tui
在防火墙配置工具设置后会即时生效,并将设置保存 到“/etc/sysconfig/iptables”文件中
Page 21/47
iptables命令的使用6-1
iptables命令的操作对象包括
规则表(table)由规则链的集合组成,不同的规则表 用于实现不同类型的功能 规则链(chain)由规则的集合组成,保存在规则表中; 在规则表中不同的规则链代表了不同的数据包流向 规则(rule)是最基本的设置项,用于对防火墙的策略 进行设置;流经某个数据链的数据将按照先后顺序经 过规则的“过滤”
Page 13/47
iptables的软件包组成
RHEL4中的iptables软件包
# rpm -q iptables iptables-1.2.11-3.1.RHEL4
iptables软件包中的管理命令
iptables是主要的管理命令,对网络防火墙功能的管理 都是通过iptables命令实现的 iptables-save命令可以将当前系统中的防火墙设置进 行保存 iptables-restore命令可以将使用iptables-save命令保 存的防火墙策略配置恢复到当前系统中
外部网络
网络层防火墙
受保护网络
Page 8/47
Linux中代理服务和防火墙的实现
Linux中使用软件实现代理和防火墙功能
使用netfilter/iptables架构实现网络防火墙的基本功能 使用squid服务器软件实现HTTP服务的代理功能
Page 9/47
Linux防火墙软件的发展与实现
Page 17/47
使用iptables-save命令保存设置
iptables-save命令提供了防火墙配置的保存功 能
iptables-save命令缺省只将配置信息显示到标准输 出(屏幕)中
# iptables-save
如果需要将iptables-save命令的输出保存,需要将 命令输出结果重定向到指定的文件中
# iptables-restore < ipt.v1.0
iptables-restore命令可快速恢复指定版本的防火墙配 置
ቤተ መጻሕፍቲ ባይዱ
Page 19/47
使用iptables脚本保存防火墙设置
iptables脚本可以保存当前防火墙配置
在保存防火墙当前配置前应先将原有配置进行备份
# cp /etc/sysconfig/iptables iptables.raw
# iptables-save > ipt.v1.0
使用iptables-save命令可以将多个版本的配置保存 到不同的文件中
Page 18/47
使用iptables-restore命令恢复设置
iptables-restore命令可恢复防火墙设置
iptables-restore命令可恢复使用iptables-save命令保 存的防火墙设置内容 iptables-restore命令从标准输入或输入重定向文件中 获取防火墙的设置内容
Linux中的防火强功能是由内核实现的
在2.0内核中,网络防火墙的操作工具名称是ipfwadm 在2.2内核中,网络防火墙的操作工具名称是ipchains 在2.4之后的内核中,网络防火墙的操作工具名称是 iptables
netfilter与iptables
在Linux的内核中使用netfilter架构实现防火墙功能 iptables是Linux系统中为用户提供的netfilter管理工 具,用于实现对Linux内核中网络防火墙的管理
第6章内容回顾
SMTP、POP3和IMAP是邮件系统中使用的网络 协议,可实现邮件的发送和收取 Sendmail是RHEL4系统中缺省安装使用的邮件 服务器 dovecot服务器可提供pop3和imap4服务 通过OpenWebmail提供的界面用户可以使用浏 览器管理邮箱和收发邮件 使用Sendmail、dovecot和OpenWebmail可以 构建完整的邮件应用系统
Page 25/47
iptables命令的使用6-5
删除规则
命令格式 iptables [-t table] -D chain rulespecification [options] 删除规则的iptables命令与添加规则的命令格式类似 删除INPUT规则表中已有的规则 # iptables -D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
Page 23/47
iptables命令的使用6-3
清空表中的规则
命令格式: iptables [-t table] -F [chain] [options]
清空filter表中的所有规则 # iptables -F
清空nat表中的所有规则 # iptables -t nat -F
删除表中的自定义规则链
不同的规则表由不同的规则链组成
Filter:INPUT、FORWARD、OUTPUT NAT:PREROUTING、POSTROUTING、OUTPUT Mangle:PREROUTING、POSTROUTING、INPUT、 OUTPUT和FORWARD
Page 12/47
netfilter/iptables的典型应用
Chain INPUT (policy ACCEPT) target prot opt source Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source destination