linux系統(tǒng)管理-安全securitychap_第1頁
linux系統(tǒng)管理-安全securitychap_第2頁
linux系統(tǒng)管理-安全securitychap_第3頁
linux系統(tǒng)管理-安全securitychap_第4頁
linux系統(tǒng)管理-安全securitychap_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

BENET3.0第二學(xué)期課程第三章配置IPTABLES防火墻(二)——理論部分2課程回顧iptables與netfilter的作用及區(qū)別是什么?iptables命令的語法格式包括哪些組成部分?若設(shè)置iptables規(guī)則時(shí)未指定表名,默認(rèn)使用哪個(gè)表?設(shè)置顯式匹配條件時(shí),需要注意什么?防火墻對數(shù)據(jù)包的常見處理方式包括哪些?3技能展示會(huì)使用SNAT策略配置共享上網(wǎng)會(huì)使用DNAT策略發(fā)布企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)會(huì)為Linux防火墻增加應(yīng)用層過濾功能4本章結(jié)構(gòu)SNAT策略及應(yīng)用SNAT策略概述重新編譯安裝內(nèi)核SNAT策略的應(yīng)用重新編譯安裝iptables配置iptables防火墻(二)DNAT策略及應(yīng)用使用layer7應(yīng)用層過濾功能DNAT策略概述DNAT策略的應(yīng)用設(shè)置應(yīng)用層過濾規(guī)則5SNAT策略概述SNAT策略的典型應(yīng)用環(huán)境局域網(wǎng)主機(jī)共享單個(gè)公網(wǎng)IP地址接入InternetSNAT策略的原理源地址轉(zhuǎn)換,SourceNetworkAddressTranslation修改數(shù)據(jù)包的源IP地址6SNAT策略的應(yīng)用環(huán)境Internet局域網(wǎng)PC機(jī)00/24

9eth1:/24eth0:1/30Linux網(wǎng)關(guān)服務(wù)器7SNAT策略的原理未使用SNAT策略時(shí)的情況源地址:00

目標(biāo)地址:9HTTP請求HTTP請求HTTP應(yīng)答源地址:00

目標(biāo)地址:9源地址:9

目標(biāo)地址:00Linux網(wǎng)關(guān)服務(wù)器

eth1:

eth0:1Internet中的Web服務(wù)器

9無法正確路由路

轉(zhuǎn)

發(fā)局域網(wǎng)客戶端

008SNAT策略的原理在網(wǎng)關(guān)中使用SNAT策略以后源地址:00

目標(biāo)地址:9HTTP請求HTTP應(yīng)答源地址:1

目標(biāo)地址:9源地址:9

目標(biāo)地址:1Linux網(wǎng)關(guān)服務(wù)器

eth1:

eth0:1Internet中的Web服務(wù)器

9SNAT

轉(zhuǎn)換局域網(wǎng)客戶端

00源地址:9

目標(biāo)地址:00HTTP請求9SNAT策略的應(yīng)用SNAT的應(yīng)用案例Internet局域網(wǎng)PC機(jī)00/24

9/30eth1:/24eth0:1/30Linux網(wǎng)關(guān)服務(wù)器10SNAT策略的應(yīng)用前提條件局域網(wǎng)各主機(jī)正確設(shè)置IP地址/子網(wǎng)掩碼局域網(wǎng)各主機(jī)正確設(shè)置默認(rèn)網(wǎng)關(guān)地址推薦實(shí)現(xiàn)步驟1.開啟網(wǎng)關(guān)主機(jī)的路由轉(zhuǎn)發(fā)功能2.添加使用SNAT策略的防火墻規(guī)則規(guī)則示例:iptables-tnat-APOSTROUTING-s/24

-oeth0-jSNAT--to-source1來自特定局域網(wǎng)段的數(shù)據(jù)包網(wǎng)關(guān)主機(jī)外網(wǎng)接口的IP地址需要從接口eth0外出的數(shù)據(jù)包在路由選擇之后再進(jìn)行處理11SNAT策略的應(yīng)用驗(yàn)證SNAT結(jié)果在局域網(wǎng)主機(jī)中(00)應(yīng)能夠訪問外網(wǎng)的Web服務(wù)器(9)命令行執(zhí)行“elinks”進(jìn)行訪問查看外網(wǎng)測試主機(jī)(9)的Web訪問日志,記錄的應(yīng)為網(wǎng)關(guān)主機(jī)的公網(wǎng)IP地址(1)[root@localhost~]#tail-f/var/log/httpd/access_log1--[04/Jun/2009:14:02:02]"GET/HTTP/1.1"4033985"-""ELinks/0.11.1(textmode;Linux;80x25-2)"教員演示操作過程12網(wǎng)關(guān)使用動(dòng)態(tài)公網(wǎng)IP地址的情況MASQUERADE(地址偽裝)策略只需將“-jSNAT--to-source1”的形式改為“-jMASQUERADE”即可如果是通過ADSL撥號(hào)方式連接Internet,則外網(wǎng)接口名稱通常為ppp0、ppp1等MASQUERADE策略應(yīng)用示例[root@localhost~]#iptables-tnat-APOSTROUTING-s/24-oppp0-jMASQUERADE13DNAT策略概述DNAT策略的典型應(yīng)用環(huán)境在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務(wù)器DNAT策略的原理目標(biāo)地址轉(zhuǎn)換,DestinationNetworkAddressTranslation修改數(shù)據(jù)包的目標(biāo)IP地址14DNAT策略的應(yīng)用環(huán)境Interneteth1:/24

eth0:1/30網(wǎng)站服務(wù)器/24Linux網(wǎng)關(guān)服務(wù)器Internet中的客戶機(jī)

915DNAT策略的原理在網(wǎng)關(guān)中使用DNAT策略發(fā)布內(nèi)網(wǎng)服務(wù)器源地址:9

目標(biāo)地址:1HTTP請求Internet中的客戶機(jī)

9Linux網(wǎng)關(guān)服務(wù)器

eth0:1

eth1:局域網(wǎng)內(nèi)的Web服務(wù)器

HTTP應(yīng)答源地址:1

目標(biāo)地址:9DNAT

轉(zhuǎn)換HTTP請求HTTP應(yīng)答源地址:9

目標(biāo)地址:源地址:

目標(biāo)地址:916DNAT策略的應(yīng)用DNAT的應(yīng)用案例Interneteth1:/24

eth0:1/30網(wǎng)站服務(wù)器/24Linux網(wǎng)關(guān)服務(wù)器Internet中的客戶機(jī)

917DNAT策略的應(yīng)用前提條件局域網(wǎng)的Web服務(wù)器正確設(shè)置了IP地址/子網(wǎng)掩碼局域網(wǎng)的Web服務(wù)器正確設(shè)置了默認(rèn)網(wǎng)關(guān)地址推薦實(shí)現(xiàn)步驟1.確認(rèn)已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能2.添加使用DNAT策略的防火墻規(guī)則規(guī)則示例:iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport80-jDNAT--to-destination訪問網(wǎng)關(guān)的公網(wǎng)IP地址的數(shù)據(jù)包內(nèi)網(wǎng)中Web服務(wù)器的實(shí)際IP地址從外網(wǎng)接口eth0進(jìn)入的數(shù)據(jù)包在路由選擇之前進(jìn)行處理訪問標(biāo)準(zhǔn)Web服務(wù)端口的數(shù)據(jù)包18DNAT策略的應(yīng)用驗(yàn)證DNAT結(jié)果在外網(wǎng)測試機(jī)(9)中,應(yīng)能夠通過瀏覽器訪問網(wǎng)關(guān)公網(wǎng)IP地址(1)的80端口命令行執(zhí)行“elinks”進(jìn)行訪問——實(shí)際網(wǎng)頁內(nèi)容由主機(jī)提供查看局域網(wǎng)內(nèi)Web服務(wù)器()的Web訪問日志,應(yīng)記錄了外網(wǎng)測試機(jī)的IP地址(9)[root@localhost~]#tail-f/var/log/httpd/access_log9--[04/Jun/2009:14:35:53]"GET/HTTP/1.1"20015"-""ELinks/0.11.1(textmode;Linux;80x25-2)"教員演示操作過程19通過DNAT策略同時(shí)修改目標(biāo)端口號(hào)使用形式只需要在“--to-destination”后的目標(biāo)IP地址后面增加“:端口號(hào)”即可,即:

-jDNAT--to-destination目標(biāo)IP:目標(biāo)端口通過DNAT策略修改目標(biāo)端口號(hào)的應(yīng)用示例從Internet中訪問網(wǎng)關(guān)主機(jī)(1)的2222端口時(shí),實(shí)際由運(yùn)行在局域網(wǎng)主機(jī)()的22端口的應(yīng)用程序提供服務(wù)[root@localhost~]#iptables-tnat-APREROUTING-ieth0-d1-ptcp--dport2222-jDNAT--to-destination:2220小結(jié)請思考:SNAT策略的核心用途是什么?DNAT策略的核心用途是什么?SNAT、DNAT策略在企業(yè)中包括哪些典型應(yīng)用?如果企業(yè)的網(wǎng)關(guān)主機(jī)通過ADSL動(dòng)態(tài)地址接入Internet網(wǎng)絡(luò),應(yīng)如何設(shè)置共享上網(wǎng)策略?21使用layer7應(yīng)用層過濾功能默認(rèn)netfilter/iptables體系的不足以基于網(wǎng)絡(luò)層的數(shù)據(jù)包過濾機(jī)制為主,同時(shí)提供少量的傳輸層、數(shù)據(jù)鏈路層的過濾功能難以判斷數(shù)據(jù)包對應(yīng)于何種應(yīng)用程序(如QQ、MSN)netfilter-layer7補(bǔ)丁包的作用由“L7-filter”項(xiàng)目提供源碼站點(diǎn)位于通過為Linux內(nèi)核、iptables添加相應(yīng)的補(bǔ)丁文件,重新編譯安裝后提供基于應(yīng)用層(第7層)的擴(kuò)展功能通過獨(dú)立的l7-protocols協(xié)議包提供對各種應(yīng)用層數(shù)據(jù)的特征識(shí)別定義,便于更新22使用layer7應(yīng)用層過濾功能整體實(shí)現(xiàn)過程添加內(nèi)核補(bǔ)丁,重新編譯內(nèi)核,并以新內(nèi)核引導(dǎo)系統(tǒng)添加iptables補(bǔ)丁,重新編譯安裝iptables安裝l7-protocols協(xié)議定義包使用iptables命令設(shè)置應(yīng)用層過濾規(guī)則使用的軟件包列表Linux內(nèi)核源碼包:linux-.tar.bz2iptables源碼包:iptables-1.4.2.tar.bz2layer7補(bǔ)丁源碼包:netfilter-layer7-v2.21.tar.gz協(xié)議定義包:l7-protocols-2009-05-10.tar.gz23重新編譯新內(nèi)核釋放內(nèi)核源碼包,并合并補(bǔ)丁[root@localhost~]#tarzxvfnetfilter-layer7-v2.21.tar.gz-C/usr/src/[root@localhost~]#tarjxvflinux-.tar.bz2-C/usr/src/[root@localhost~]#cd/usr/src/linux-[root@localhostlinux-]#patch-p1<\>../netfilter-layer7-v2.21/kernel-2.6.25-2.6.28-layer7-2.21.patch

24重新編譯新內(nèi)核配置內(nèi)核編譯參數(shù)復(fù)制當(dāng)前系統(tǒng)使用的內(nèi)核配置文件,以此作為基礎(chǔ)當(dāng)前系統(tǒng)的內(nèi)核配置文件:/boot/config-2.6.18-8.el5源碼目錄的默認(rèn)配置文件名:.config進(jìn)入源碼目錄,執(zhí)行“makemenuconfig”命令在配置界面中的操作方向鍵、、、用于定位功能項(xiàng)、菜單項(xiàng)菜單項(xiàng)<Select>、<Exit>、<Help>空格鍵用于選擇配置類型對不同功能的配置選擇[]:空選時(shí)表示不需要在新內(nèi)核中使用該功能[M]:表示將此項(xiàng)功能編譯為模塊,以便在需要時(shí)加載[*]:將此項(xiàng)功能直接編入新內(nèi)核,作為新內(nèi)核的一部分25重新編譯新內(nèi)核需要配置哪些內(nèi)核編譯參數(shù)CodeNetfilterConfiguration網(wǎng)絡(luò)過濾代碼配置將“Netfilterconnectiontrackingsupport”編為模塊將以下應(yīng)用層過濾支持的功能也編譯為模塊:

"layer7"matchsupport、"string"matchsupport“time”matchsupport、"connlimit"matchsupport"其他功能模塊根據(jù)實(shí)際需要酌情添加“iprange”addressrangematchsupport“state”matchsupport、"mac"addressmatchsupportIP:NetfilterConfigurationIP包過濾功能配置將“IPv4connectiontrackingsupport(requireforNAT)”功能編為模塊將“FullNAT”部分的“MASQUERADEtargetsupport”、“REDIRECTtargetsupport”等功能也編譯為模塊26重新編譯新內(nèi)核編譯內(nèi)核的模塊文件、執(zhí)行程序執(zhí)行make

命令即可安裝編譯好的模塊文件執(zhí)行makemodules_install

命令模塊文件將安裝到/lib/modules//目錄安裝編譯好的內(nèi)核執(zhí)行程序執(zhí)行makeinstall

命令內(nèi)核執(zhí)行程序?qū)?fù)制為/boot/vmlinuz-修改grub.conf配置,重啟并以新內(nèi)核進(jìn)入系統(tǒng)27重新編譯安裝iptables工具先卸載原有的iptables軟件包可以根據(jù)提示的依賴關(guān)系卸載相關(guān)的各軟件包或者忽略依賴關(guān)系卸載幾個(gè)主要的軟件包即可rpm-eiptablesiptables-ipv6iptstate--nodeps合并補(bǔ)丁,并編譯安裝新的iptables工具[root@localhost~]#tarjxvfiptables-1.4.2.tar.bz2-C/usr/src/[root@localhost~]#cd/usr/src/iptables-1.4.2/[root@localhostiptables-1.4.2]#cp/usr/src/netfilter-layer7-v2.21/\>iptables--for-kernel-2.6.20forward/libxt_layer7.*extensions/[root@localhostiptables-1.4.2]#./configure--prefix=/--with-ksource=/usr/src/linux-[root@localhostiptables-1.4.2]#make[root@localhostiptables-1.4.2]#makeinstall28安裝l7-protocols協(xié)議定義包解包后直接執(zhí)行“makeinstall”命令即可[root@localhost~]#tarzxvfl7-protocols-2009-05-10.tar.gz[root@localhost~]#cdl7-protocols-2009-05-10[root@localhostl7-protocols-2009-05-10]#makeinstall29設(shè)置使用應(yīng)用層過濾規(guī)則layer7應(yīng)用層協(xié)議匹配匹配格式:-mlayer7--l7proto

協(xié)議名協(xié)議定義文件位于:/etc/l7-protocols/protocols支持以下常見應(yīng)用層協(xié)議的過濾

qq:騰訊公司QQ程序的通訊協(xié)議

msnmessenger:微軟公司MSN程序的通訊協(xié)議

msn-filetransfer:MSN程序的文件傳輸協(xié)議

bittorrent:BT下載類軟件使用的通訊協(xié)議

xunlei:迅雷下載工具使用的通訊協(xié)議

edonkey:電驢下載工具使用的通訊協(xié)議其他各種應(yīng)用層協(xié)議:ftp、http、dns、imap、pop3……規(guī)則示例:過濾使用qq協(xié)議的轉(zhuǎn)發(fā)數(shù)據(jù)包

iptables-AFORWARD-mlayer7--l7protoqq-jDROP教員演示操作過程30設(shè)置使用應(yīng)用層過濾規(guī)則時(shí)間匹配匹配格式:-mtime--timestart

起始時(shí)間--timestop

結(jié)束時(shí)間--wekdays

每周的哪些天時(shí)間以24小時(shí)制表示,例如18:00每周的哪些天以對應(yīng)的英文縮寫表示,例如周一至周日分別為Mon、Tue、Wed、Thu、Fri、Sat、Sun并發(fā)連接數(shù)匹配匹配格式:-mconnlimit--connlimit-above

上限數(shù)字符串匹配匹配格式:-mstring--string“字串”--algo

算法算法指的是用于比對數(shù)據(jù)包中字符串的特定方法,可以為bm或kmp,其中任一種均可31本章總結(jié)SNAT策略及應(yīng)用SNAT策略概述重新編譯安裝內(nèi)核SNAT策略的應(yīng)用重新編譯安裝iptables配置iptables防火墻(二)DNAT策略及應(yīng)用使用layer7應(yīng)用層過濾功能DNAT策略概述DNAT策略的應(yīng)用設(shè)置應(yīng)用層過濾規(guī)則BENET3.0第二學(xué)期課程第三章配置IPTABLES防火墻(二)——上機(jī)部分33實(shí)驗(yàn)案例1:SNAT、DNAT網(wǎng)關(guān)策略需求描述網(wǎng)關(guān)主機(jī)使用兩個(gè)網(wǎng)卡eth0接口(/24)連接外網(wǎng)eth1接口(/24)連接內(nèi)網(wǎng)配置SNAT策略實(shí)現(xiàn)共享上網(wǎng)從/24網(wǎng)段可以

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論