《網(wǎng)絡(luò)系統(tǒng)安全運行與維護》課件項目五 任務(wù)五 使用防火墻模塊提升Linux服務(wù)器的安全防御

項目五Linux服務(wù)器系統(tǒng)安全運行與維護項目主要內(nèi)容：任務(wù)一

加強Linux系統(tǒng)DNS服務(wù)的安全防御任務(wù)二

加強Linux系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強Linux系統(tǒng)Web服務(wù)的安全防御任務(wù)四

加強Linux系統(tǒng)FTP服務(wù)的安全防御任務(wù)五

使用防火墻模塊提升Linux服務(wù)器的安全防御任務(wù)提出

對網(wǎng)絡(luò)中的各種服務(wù)器實施安全配置后，服務(wù)器盡最大努力為網(wǎng)絡(luò)用戶提供安全的服務(wù)，但對服務(wù)器還需要進行一些安全配置。對于Linux操作系統(tǒng)來說，其系統(tǒng)本身提供了iptables防火墻模塊。Linux不但可以利用iptables模塊對本機的服務(wù)提供安全保護，而且還可以用它充當(dāng)網(wǎng)關(guān)，對局域網(wǎng)內(nèi)部用戶和服務(wù)進行安全防護，可以通過利用防火墻模塊保護服務(wù)器的服務(wù)和利用防火墻模塊架設(shè)安全防火墻兩種方式進行安全配置。

在網(wǎng)絡(luò)系統(tǒng)中服務(wù)器可以使用防火墻模塊進行以下安全配置：1.使用防火墻模塊對網(wǎng)絡(luò)訪問進行安全防護

在防火墻模塊中，通過控制內(nèi)網(wǎng)用戶訪問外網(wǎng)，修改訪問策略，指定NAT轉(zhuǎn)換，保護網(wǎng)絡(luò)訪問的安全。2.使用防火墻模塊對Web服務(wù)器進行安全防護

在防火墻模塊中配置策略文件，使得外網(wǎng)計算機通過服務(wù)器的公網(wǎng)地址訪問服務(wù)器的Web服務(wù)器，以保護Web服務(wù)器的安全。3.使用防火墻模塊對FTP服務(wù)器進行安全防護

在防火墻模塊中加載FTP模塊，配置外網(wǎng)計算機通過防火墻安全策略訪問FTP服務(wù)，保護FTP服務(wù)器的安全。4.使用防火墻模塊架設(shè)安全防火墻，保護內(nèi)網(wǎng)用戶和服務(wù)

在防火墻模塊中，設(shè)置防火墻默認規(guī)則，保護服務(wù)器的DNS、Web和FTP服務(wù)，配置防火墻日志，保護內(nèi)網(wǎng)用戶和訪問服務(wù)的安全。任務(wù)分析1.使用防火墻模塊對網(wǎng)絡(luò)訪問進行安全防護Linux提供了一個非常優(yōu)秀的防火墻工具——netfilter/iptables。它完全免費，功能強大，使用靈活，可以對流入和流出的信息進行細化控制，且對計算機配置沒有較高要求，是進行網(wǎng)絡(luò)安全防護的重要工具。netfilter/iptablesIP信息包過濾系統(tǒng)是一種功能強大的工具，可用于添加、編輯和刪除規(guī)則，這些規(guī)則是防火墻在進行信息包過濾時所遵循的規(guī)則。它由netfilter和iptables兩個組件組成。netfilter組件也稱為內(nèi)核空間（kernelspace)，

是Linux內(nèi)核的一部分，由一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。iptables組件是一種工具，也稱為用戶空間(userspace)，它使插入、修改和刪除信息包過濾表中的規(guī)則變得容易。iptables防火墻只讀取數(shù)據(jù)包頭，不會給信息流增加負擔(dān)，也不需進行驗證。在使用防火墻模塊對網(wǎng)絡(luò)訪問進行安全防護時，可以在防火墻上指定網(wǎng)絡(luò)流量的進出接口，對源IP地址和目的IP地址進行過濾，還可以配置內(nèi)網(wǎng)在訪問外網(wǎng)時進行NAT轉(zhuǎn)換時的IP地址，同時也可以防止地址映射錯誤，保護DNS和DHCP服務(wù)器的安全。2.使用防火墻模塊對Web服務(wù)器進行安全防護

眾所周知，Web服務(wù)器是通過TCP協(xié)議的80端口提供服務(wù)器的，因此在防火墻模塊中可以限制從80端口進出的流量，以防護Web服務(wù)器的安全。3.使用防火墻模塊對FTP服務(wù)器進行安全防護FTP服務(wù)器通過20端口和21端口提供服務(wù)，其中21端口用于建立連接，20端口用于傳輸數(shù)據(jù)，因此要保護FTP服務(wù)器的安全，需要同時保護20端口和21端口的進出數(shù)據(jù)。4.使用防火墻模塊架設(shè)安全防火墻，保護內(nèi)網(wǎng)用戶和服務(wù)

在防火墻模塊上設(shè)置允許訪問回環(huán)地址，允許客戶端和服務(wù)器進行DNS查詢，允許進行DNS區(qū)域復(fù)制，允許客戶端訪問Web服務(wù)和FTP服務(wù)，配置防火墻日志，將每種服務(wù)訪問數(shù)據(jù)設(shè)置前綴，方便查看。知識鏈接Linux防火墻iptables用于實現(xiàn)Linux下IP訪問控制的功能，通過定義防火墻的策略和規(guī)則使得防火墻發(fā)揮防護作用。netfilter和iptables組成Linux平臺下的包過濾防火墻，與大多數(shù)的Linux軟件一樣，它可以完成封包過濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。

（1）防火墻的規(guī)則鏈和表。

在iptables中定義的規(guī)則，必須要放入內(nèi)核中供netfilter讀取，而放入內(nèi)核的地方，一共分為五處：1）內(nèi)核空間中：從一個網(wǎng)絡(luò)接口進來，到另一個網(wǎng)絡(luò)接口出去。2）數(shù)據(jù)包從內(nèi)核流入用戶空間的。3）數(shù)據(jù)包從用戶空間流出的。4）進入/離開本機的外網(wǎng)接口。5）進入/離開本機的內(nèi)網(wǎng)接口。這五個位置也被稱為五個鉤子函數(shù)（hookfunctions），也稱為五個規(guī)則鏈。1）PREROUTING(路由前)。2）INPUT(數(shù)據(jù)包流入口)。3）FORWARD(轉(zhuǎn)發(fā)管卡)。4）OUTPUT(數(shù)據(jù)包出口)。5）POSTROUTING（路由后）。防火墻控制網(wǎng)絡(luò)報文的流程圖如圖1所示：圖1報文的流向如下：傳到本機的報文：prerouting-->input。由本機轉(zhuǎn)發(fā)的報文：prerouting-->forward-->postrouting。由本機的某個進程發(fā)出報文：output-->postrouting。防火墻中的5個規(guī)則鏈包含在防護墻的4個表中，用來處理不同的數(shù)據(jù)報文，4個表分別為：filter表——負責(zé)過濾功能，防火墻。nat表——networkaddresstranslation，網(wǎng)路地址轉(zhuǎn)換功能。managle表——拆解報文，作出修改，并重新封裝。raw表——關(guān)閉nat表上啟用的鏈接追蹤機制。

某些鏈中只包含某些表，并不是每個鏈都包含上述4種表，表和鏈的對應(yīng)關(guān)系如圖2所示:圖2

當(dāng)一個鏈中同時包含四種表的時候，這四個表的優(yōu)先級順序如下:raw-->mangle-->nat-->filter

因為只有output鏈能夠同時包含這四種表，所以防火墻文件中output項比較多。（2）防火墻的匹配規(guī)則。

只有滿足匹配規(guī)則的報文才能被防火墻轉(zhuǎn)發(fā)?；酒ヅ錀l件包括源地址SourceIP和目標(biāo)地址DestinationIP。擴展匹配規(guī)則可以是源端口和目標(biāo)端口，源地址、目的地址、傳輸協(xié)議、服務(wù)協(xié)議等。當(dāng)規(guī)則匹配之后，處理方法如下：ACCEPT：允許通過；LOG：記錄日志信息，然后傳給下一條規(guī)則繼續(xù)匹配；REJECT：拒絕通過，必要時給出提示；DROP：直接丟棄，不給出任何回應(yīng)。匹配規(guī)則查看方法：iptables-tfilter-L查詢filter表的所有規(guī)則；iptables-traw-L查看raw表的所有規(guī)則。如使用iptables-L時，其默認的表是filter表，效果等同于iptables-tfilter-L。任務(wù)實施1.使用防火墻模塊對網(wǎng)絡(luò)訪問進行安全防護操作步驟如下：步驟1實驗準(zhǔn)備階段，根據(jù)項目一中任務(wù)二知識點，在VMwareWorkstation中部署四臺RedHatEnterpriseLinux6.4系統(tǒng)虛擬機FW、server、PC1和PC2，四臺虛擬機的IP地址規(guī)劃如表所示。（如果電腦資源不夠，虛擬機不必全部同時開啟，可以在不同實驗階段開啟相應(yīng)虛擬機即可；也可在多個互連的物理機上分別建立相應(yīng)的虛擬機）。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址默認網(wǎng)關(guān)FW防火墻RedHatLinux6.4eth1:54/24

eth0:54/24server服務(wù)器RedHatLinux6.4/2454PC1內(nèi)網(wǎng)客戶端RedHatLinux6.40/2454PC2外網(wǎng)客戶端RedHatLinux6.4/2454步驟2關(guān)閉計算機的防火墻和selinux，并測試計算機之間的連通性。將計算機重啟，使得selinux設(shè)置生效。其他三臺虛擬機同樣設(shè)置。[root@Server桌面]#serviceiptablesstopiptables：清除防火墻規(guī)則：[確定]iptables：將鏈設(shè)置為政策ACCEPT：filter[確定]iptables：正在卸載模塊：[確定][root@Server桌面]#vim/etc/selinux/configSELINUX=disabled……[root@FW桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=2.00ms64bytesfrom:icmp_seq=2ttl=64time=0.598ms64bytesfrom:icmp_seq=3ttl=64time=0.434ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2373msrttmin/avg/max/mdev=0.434/1.012/2.006/0.706ms[root@FW桌面]#ping0PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=1.84ms64bytesfrom0:icmp_seq=2ttl=64time=0.500ms64bytesfrom0:icmp_seq=3ttl=64time=0.455ms^C---0pingstatistics---3packetstransmitted,3received,0%packetloss,time2585msrttmin/avg/max/mdev=0.455/0.932/1.841/0.643ms[root@FW桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=1.12ms64bytesfrom:icmp_seq=2ttl=64time=0.555ms64bytesfrom:icmp_seq=3ttl=64time=0.577ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2064msrttmin/avg/max/mdev=0.555/0.753/1.127/0.264ms步驟3在服務(wù)器上安裝網(wǎng)絡(luò)服務(wù)。①在server上安裝并啟動FTP服務(wù)。詳細步驟見項目三任務(wù)二中任務(wù)實施步驟二。②在server上安裝并啟動DNS服務(wù)。詳細步驟見項目五任務(wù)一中任務(wù)實施步驟二。③在server上安裝并啟動DHCP服務(wù)。詳細步驟見項目五任務(wù)二中任務(wù)實施步驟二。④在server上安裝并啟動Web服務(wù)。詳細步驟見項目五任務(wù)三中任務(wù)實施步驟二。步驟4啟用內(nèi)核的包轉(zhuǎn)發(fā)功能。①測試PC1和PC2之間能否相互訪問。PC1和PC2之間不能相互訪問。②在防火墻上打開內(nèi)核的包轉(zhuǎn)發(fā)功能。經(jīng)查看發(fā)現(xiàn)，防火墻的包轉(zhuǎn)發(fā)功能默認情況下是關(guān)閉的。再次查看，防火墻的包轉(zhuǎn)發(fā)功能已打開。[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---15packetstransmitted,0received,100%packetloss,time14002ms[root@FW桌面]#sysctl-p[root@FW桌面]#vim/etc/sysctl.conf……#net.ipv4.ip_forward=0net.ipv4.ip_forward=1//打開防火墻包轉(zhuǎn)發(fā)功能……[root@FW桌面]#sysctl-p③打開防火墻。④測試PC1和PC2之間能否相互訪問。[root@FW桌面]#serviceiptablesstartiptables：應(yīng)用防火墻規(guī)則：[確定][root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.70ms64bytesfrom:icmp_seq=2ttl=63time=0.982ms64bytesfrom:icmp_seq=3ttl=63time=1.37ms64bytesfrom:icmp_seq=4ttl=63time=0.913ms^C---pingstatistics---4packetstransmitted,4received,0%packetloss,time3159msrttmin/avg/max/mdev=0.913/1.995/4.707/1.575msPC1和PC2之間可以相互訪問，這其實是防火墻充當(dāng)了路由器的功能，PC1發(fā)送給PC2的數(shù)據(jù)包先到達防火墻，然后防火墻再轉(zhuǎn)發(fā)給PC2，這樣就實現(xiàn)了不同網(wǎng)段的計算機的連通性。步驟5進行防火墻初始設(shè)置。①清除防火墻規(guī)則。清除表filter的系統(tǒng)鏈規(guī)則：清除表filter的自定義鏈規(guī)則：清除nat表的系統(tǒng)鏈規(guī)則：清除nat表的自定義鏈規(guī)則：[root@FW桌面]#iptables-F[root@FW桌面]#iptables-X[root@FW桌面]#iptables-tnat-F[root@FW桌面]#iptables-tnat-X[root@FW桌面]#iptables-PINPUTDROP//拒絕接收數(shù)據(jù)。[root@FW桌面]#iptables-POUTPUTDROP//拒絕發(fā)送數(shù)據(jù)。[root@FW桌面]#iptables-PFORWARDDROP//拒絕轉(zhuǎn)發(fā)數(shù)據(jù)。[root@FW桌面]#iptables-tnat-PPREROUTINGACCEPT//允許NAT轉(zhuǎn)換輸入數(shù)據(jù)地址。[root@FW桌面]#iptables-tnat-POUTPUTACCEPT//允許NAT轉(zhuǎn)發(fā)傳送數(shù)據(jù)。[root@FW桌面]#iptables-tnat-PPOSTROUTINGACCEPT//允許NAT轉(zhuǎn)換輸出數(shù)據(jù)地址。②設(shè)置防火墻的默認規(guī)則。③保存防火墻規(guī)則，并啟動防火墻。[root@FW桌面]#iptables-LChainINPUT(policyDROP)targetprotoptsourcedestinationChainFORWARD(policyDROP)targetprotoptsourcedestinationChainOUTPUT(policyDROP)targetprotoptsourcedestination[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart④查看防火墻規(guī)則。⑤測試PC1和PC2之間的連通性。

由于防火墻規(guī)則已被清空，進行了重新設(shè)置，PC1和PC2之間的數(shù)據(jù)包不再能夠通過防火墻進行轉(zhuǎn)發(fā)，兩臺計算機之間的連通性被斷開。[root@FW桌面]#iptables-L-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---33packetstransmitted,0received,100%packetloss,time32959ms步驟6允許內(nèi)網(wǎng)計算機訪問Internet。①測試PC1和PC2之間能否相互訪問。

經(jīng)過步驟5的設(shè)置，PC1和PC2由于不在同一網(wǎng)絡(luò)，防火墻策略不支持傳送內(nèi)外網(wǎng)之間的數(shù)據(jù)包，PC1和PC2之間無法相互訪問。[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---7packetstransmitted,0received,100%packetloss,time6586ms②在防火墻上配置策略，允許內(nèi)網(wǎng)計算機訪問外網(wǎng)。[root@FW桌面]#iptables-AFORWARD-ieth0-oeth1-s/24-dany/0-jACCEPT//防火墻允許來自網(wǎng)絡(luò)到達其他所有主機的數(shù)據(jù)流量自eth0網(wǎng)口進入，eth1網(wǎng)口流出。[root@FW桌面]#iptables-AFORWARD-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中添加一條轉(zhuǎn)發(fā)規(guī)則：對進來的數(shù)據(jù)包的狀態(tài)進行檢測，對已經(jīng)建立tcp連接的數(shù)據(jù)包以及該連接相關(guān)的數(shù)據(jù)包允許通過。知識鏈接：Iptables參數(shù)-mstate--state<狀態(tài)>這條命令中有多種狀態(tài)，主要有：（1）INVALID：表示無效的數(shù)據(jù)包，例如數(shù)據(jù)破損的數(shù)據(jù)包狀態(tài)；（2）ESTABLISHED：已經(jīng)聯(lián)機成功的聯(lián)機狀態(tài)；（3）NEW：需要新建立聯(lián)機的數(shù)據(jù)包狀態(tài)；（4）RELATED：這個狀態(tài)經(jīng)常用，表示這個數(shù)據(jù)包與主機發(fā)送出去的數(shù)據(jù)包有關(guān)，可能是響應(yīng)數(shù)據(jù)包或者是聯(lián)機成功之后的傳送數(shù)據(jù)包，因此這個狀態(tài)經(jīng)常被設(shè)置，設(shè)置該狀態(tài)后，只要是由本機發(fā)送出去的數(shù)據(jù)包，即使沒有設(shè)置數(shù)據(jù)包的INPUT規(guī)則，該有關(guān)的數(shù)據(jù)包均可以進入主機，可以簡化很多設(shè)置規(guī)則。③保存策略，重新啟動防火墻。④再次測試PC1和PC2之間能否相互訪問。

由于防火墻中已經(jīng)設(shè)置了自PC1發(fā)送出去的數(shù)據(jù)包自防火墻的eth0網(wǎng)口進入，eth1網(wǎng)口轉(zhuǎn)發(fā)出去，所以PC1可以成功發(fā)送數(shù)據(jù)包至PC2。PC2響應(yīng)PC1的ICMP數(shù)據(jù)包也被允許通過，因此，ping命令得以成功執(zhí)行。[root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.90ms64bytesfrom:icmp_seq=2ttl=63time=0.984ms64bytesfrom:icmp_seq=3ttl=63time=1.05ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2165msrttmin/avg/max/mdev=0.984/2.314/4.909/1.835ms[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤在PC2上抓取PC1發(fā)送的數(shù)據(jù)包，觀察源地址是否為PC1的地址。在PC1上pingPC2，然后在PC2上進行抓包。由這句結(jié)果可以得出，PC1發(fā)送給PC2的數(shù)據(jù)包的源地址為PC1的地址。⑥在防火墻上查看網(wǎng)絡(luò)地址轉(zhuǎn)換表。NAT表中的記錄為空，說明PC1向PC2發(fā)送數(shù)據(jù)時沒有經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換。[root@PC2桌面]#tcpdump-ieth0-v……0>:ICMPechorequest,id9748,seq6,length64……[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑦在防火墻上配置內(nèi)網(wǎng)訪問外網(wǎng)時需進行NAT轉(zhuǎn)換。⑧保存策略，重新啟動防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADE//對防火墻的NAT表添加規(guī)則，

網(wǎng)絡(luò)中的主機發(fā)送到公網(wǎng)的數(shù)據(jù)包自eth1網(wǎng)口發(fā)送，并且要進行IP地址偽裝，即NAT轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-APOSTROUTING-s/24-jSNAT--to-source54//對防火墻的NAT表添加規(guī)則，網(wǎng)絡(luò)中的主機向外網(wǎng)發(fā)送數(shù)據(jù)包時需將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑨再次查看網(wǎng)絡(luò)地址轉(zhuǎn)換表。

由表可見，在轉(zhuǎn)換策略中，將網(wǎng)絡(luò)中地址靜態(tài)轉(zhuǎn)換為54。[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEall--/24/0SNATall--/24/0to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑩觀察PC1訪問PC2，并在PC2上抓取PC1發(fā)送的數(shù)據(jù)包，觀察源地址是否為PC1的地址。在PC1上pingPC2，然后在PC2上進行抓包。[root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.09ms64bytesfrom:icmp_seq=2ttl=63time=1.03ms64bytesfrom:icmp_seq=3ttl=63time=5.09ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2112msrttmin/avg/max/mdev=1.032/3.407/5.092/1.729ms[root@PC2桌面]#tcpdump-ieth0-v……54>:ICMPechorequest,id48662,seq7,length6421:15:31.438209IP(tos0x0,ttl64,id14848,offset0,flags[none],protoICMP(1),length84)>54:ICMPechoreply,id48662,seq7,length6421:15:31.438795IP(tos0x0,ttl63,id14848,offset0,flags[none],protoICMP(1),length84)……

由結(jié)果可知，PC1發(fā)送給PC2的數(shù)據(jù)包，轉(zhuǎn)換為源地址為54發(fā)送和接收。2.使用防火墻模塊對Web服務(wù)器進行安全防護步驟7允許外網(wǎng)計算機訪問Server的Web服務(wù)。①測試PC2能否訪問Server的Web服務(wù)。圖3如圖3所示，PC2無法訪問Web服務(wù)器，也無法與之建立連接。②配置外網(wǎng)計算機通過服務(wù)器的公網(wǎng)地址能夠訪問Server的Web服務(wù)。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport80-jMASQUERADE//在POSTROUTING鏈的頭部添加新規(guī)則，將訪問TCP協(xié)議80端口的數(shù)據(jù)包進行地址轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-APREROUTING-d54-ptcp--dport80-jDNAT--to//在防火墻的NAT表PREROUTING鏈中添加規(guī)則，對于目的地址為54，訪問端口為80的TCP數(shù)據(jù)包，將經(jīng)過動態(tài)轉(zhuǎn)換轉(zhuǎn)發(fā)給。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport80-jACCEPT//在防火墻規(guī)則中添加規(guī)則，允許轉(zhuǎn)發(fā)發(fā)送到eth0網(wǎng)卡，目的地址為，使用TCP協(xié)議訪問80端口的數(shù)據(jù)包。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT//在防火墻規(guī)則中添加規(guī)則，允許轉(zhuǎn)發(fā)來自主機的80端口發(fā)送的且已經(jīng)建立連接的、由eth0網(wǎng)口進入的TCP數(shù)據(jù)包。③保存策略文件，并重新啟動防火墻。④重新測試PC2能否訪問Server的Web服務(wù)，如圖4所示。圖4[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤測試PC1能否通過外網(wǎng)地址訪問Server上的Web服務(wù)。測試結(jié)果同圖4，PC1可以通過外網(wǎng)地址訪問Server上的Web服務(wù)。⑥進行源地址轉(zhuǎn)換，使響應(yīng)包正確返回。⑦保存策略文件，并重新啟動防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-d-ptcp--dport80-jSNAT--to54//在NAT表POSTROUTING鏈中添加規(guī)則，對于目的地址為、自TCP協(xié)議80端口轉(zhuǎn)發(fā)的數(shù)據(jù)包，將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDNATtcp--/0/0tcpdpt:80to:DNATtcp--/054tcpdpt:80to::80ChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEtcp--/0/0tcpdpt:80MASQUERADEall--/24/0SNATall--/24/0to:54SNATtcp--/0tcpdpt:80to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑧查看網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)表。⑨再次測試PC1能否通過外網(wǎng)地址訪問server的Web服務(wù)。測試結(jié)果同圖5-6，PC1可以通過外網(wǎng)地址訪問Server上的Web服務(wù)。使用以下命令在PC1上查看訪問web網(wǎng)頁的數(shù)據(jù)包。

由抓取的數(shù)據(jù)包可以發(fā)現(xiàn)，發(fā)送給PC1的http數(shù)據(jù)包的源地址已轉(zhuǎn)換為54。[root@PC1桌面]#tcpdump-ieth0-v……54.http>0.54689:Flags[S.],cksum0xdb8e(correct),seq1101565717,ack1641647761,win14480,options[mss1460,sackOK,TSval35364022ecr60214931,nop,wscale6],length022:43:38.261252IP(tos0x0,ttl64,id16388,offset0,flags[DF],protoTCP(6),length52)0.54689>54.http:Flags[.],cksum0x4203(correct),ack1,win229,options[nop,nop,TSval60214933ecr35364022],length022:43:38.261418IP(tos0x0,ttl64,id52885,offset0,flags[DF],protoUDP(17),length71)……3.使用防火墻模塊對FTP服務(wù)器進行安全防護步驟8允許外網(wǎng)計算機訪問server的FTP服務(wù)。①測試PC2能否訪問server的FTP服務(wù)。測試結(jié)果為PC2不能訪問server的FTP服務(wù)。②在防火墻上發(fā)布FTP服務(wù)，加載FTP模塊。③在防火墻上配置外網(wǎng)計算機能夠訪問server的FTP服務(wù)。nat表中的配置：[root@PC2桌面]#ftp54ftp:connect:連接超時[root@FW桌面]#modprobeip_nat_ftp[root@FW桌面]#modprobeip_conntrack_ftp[root@FW桌面]#iptables-tnat-IPREROUTING-d54-ptcp--dport21-jDNAT--to//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將使用TCP協(xié)議21端口訪問54的數(shù)據(jù)包的目的地址轉(zhuǎn)換為。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport21-jMASQUERADE//在防火墻NAT表的POSTROUTING鏈中增加規(guī)則，將訪問tcp協(xié)議21端口的數(shù)據(jù)包進行地址轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-IPREROUTING-d54-ptcp--dport20-jDNAT--to//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將使用TCP協(xié)議20端口訪問54的數(shù)據(jù)包的目的地址轉(zhuǎn)換為。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport20-jMASQUERADE//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將訪問tcp協(xié)議20端口的數(shù)據(jù)包進行地址轉(zhuǎn)換。FORWARD鏈中的配置：[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport21-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于從eth0網(wǎng)口使用TCP協(xié)議21端口發(fā)送到的數(shù)據(jù)包允許轉(zhuǎn)發(fā)。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport21-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于從eth0網(wǎng)口使用TCP協(xié)議21端口進入、且建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport20-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于從eth0網(wǎng)口使用TCP協(xié)議20端口進入、并且是與該主機發(fā)送的數(shù)據(jù)包有關(guān)的、建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport20-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于從eth0網(wǎng)口使用TCP協(xié)議20端口發(fā)送到主機、且建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport1024:-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于從eth0網(wǎng)口轉(zhuǎn)發(fā)到上的大于1024的TCP端口、并且是與該主機發(fā)送的數(shù)據(jù)包有關(guān)的、已建立連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport1024:-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對于來自eth0網(wǎng)口、并且是來自的大于1024的使用TCP協(xié)議的端口、已經(jīng)建立了連接的轉(zhuǎn)入數(shù)據(jù)包，允許接收。④保存策略文件，并重新啟動防火墻。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤再次測試PC2能否訪問server的FTP服務(wù)。PC2可以訪問server的FTP服務(wù)。[root@PC2桌面]#ftp54Connectedto54(54).220(vsFTPd2.2.2)Name(54:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>⑥測試PC1能否通過外網(wǎng)地址訪問server的FTP服務(wù)。如步驟⑤所示，PC1也可以訪問server的FTP服務(wù)。⑦進行源地址轉(zhuǎn)換，使回應(yīng)包正確返回。⑧保存策略文件，并重新啟動防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-d-ptcp--dport21-jSNAT--to54//在NAT表POSTROUTING鏈中添加規(guī)則，對于目的地址為、自TCP協(xié)議80端口轉(zhuǎn)發(fā)的數(shù)據(jù)包，將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDNATtcp--/054tcpdpt:20to:DNATtcp--/054tcpdpt:21to:DNATtcp--/054tcpdpt:80to:ChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEtcp--/0/0tcpdpt:20MASQUERADEtcp--/0/0tcpdpt:21MASQUERADEtcp--/0/0tcpdpt:80MASQUERADEall--/24/0SNATall--/24/0to:54SNATtcp--/0tcpdpt:80to:54SNATtcp--/0tcpdpt:21to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑨查看網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)表。⑩再次測試PC1能否通過外網(wǎng)地址訪問server的FTP服務(wù)。如步驟⑥所示，PC1依然可以訪問server的FTP服務(wù)。4.使用防火墻模塊架設(shè)安全防火墻，保護內(nèi)網(wǎng)用戶和服務(wù)步驟9開啟服務(wù)器的防火墻，并設(shè)置防火墻的默認規(guī)則。（1）如步驟5所示，清除防火墻規(guī)則，設(shè)置防火墻的默認規(guī)則，并保存和重啟防火墻。（2）允許訪問回環(huán)地址。①在服務(wù)器上嘗試ping回環(huán)地址。[root@Server桌面]#pingPING()56(84)bytesofdata.ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作^C---pingstatistics---4packetstransmitted,0received,100%packetloss,time3365ms由于在服務(wù)器上打開并設(shè)置了防火墻，服務(wù)器不能夠ping通回環(huán)地址。②在服務(wù)器上配置防火墻規(guī)則，允許訪問回環(huán)地址。③再次在服務(wù)器上嘗試ping回環(huán)地址。在服務(wù)器的防火墻規(guī)則中允許訪問回環(huán)地址，所以服務(wù)器可以正常ping通回環(huán)地址。[root@Server桌面]#iptables-AINPUT-s-d-jACCEPT//防火墻允許源地址為、目的地址為的輸入數(shù)據(jù)包通過。[root@Server桌面]#iptables-AOUTPUT-s-d-jACCEPT//防火墻允許源地址為、目的地址為的輸出數(shù)據(jù)包通過。[root@Server桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.216ms64bytesfrom:icmp_seq=2ttl=64time=0.052ms64bytesfrom:icmp_seq=3ttl=64time=0.052ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2251msrttmin/avg/max/mdev=0.052/0.106/0.216/0.078ms（3）保護服務(wù)器的DNS服務(wù)。①分別在服務(wù)器和客戶端PC1上嘗試進行DNS查詢。PC1上查詢結(jié)果同樣無法查詢。

由于在服務(wù)器上開啟了防火墻，阻礙了DNS查詢，所以在服務(wù)器和PC1上均無法進行DNS查詢。②在服務(wù)器防火墻規(guī)則中設(shè)置允許DNS查詢。

由于DNS查詢過程包括遞歸查詢和迭代查詢過程，DNS服務(wù)器在整個查詢過程中既是服務(wù)器又是客戶端，所以在設(shè)置DNS查詢規(guī)則時需要從服務(wù)器和客戶端兩方面進行設(shè)置。[root@Servernamed]#nslookup>;;connectiontimedout;tryingnextorigin;;connectiontimedout;noserverscouldbereached允許以服務(wù)器端角色進行DNS查詢：[root@Server桌面]#iptables-AINPUT-pudp--dport53-jACCEPT//以服務(wù)器端角色進行DNS查詢，防火墻對于訪問53端口的輸入進來的數(shù)據(jù)包允許通過。[root@Server桌面]#iptables-AOUTPUT-pudp--sport53-jACCEPT//以服務(wù)器端角色進行DNS查詢，防火墻對于53端口發(fā)送出去的數(shù)據(jù)包允許通過。[root@Server桌面]#iptables-AOUTPUT-pudp--dport53-jACCEPT//以客戶端角色進行DNS查詢，防火墻對于訪問53端口的輸出的數(shù)據(jù)包允許通過。[root@Server桌面]#iptables-AINPUT-pudp--sport53-jACCEPT//以客戶端角色進行DNS查詢，防火墻對于從53端口發(fā)送過來的數(shù)據(jù)包允許通過。允許以客戶端角色進行DNS查詢：[root@Server桌面]#iptables-AINPUT-ptcp-s0-d--dport53-jACCEPT//防火墻允許源地址為0、目的地址為的TCP協(xié)議數(shù)據(jù)包輸入并訪問53端口。[root@Server桌面]#iptables-AOUTPUT-ptcp-s-d0--sport53-jACCEPT//防火墻允許源地址為

、目的地址為0、源端口為53的TCP協(xié)議數(shù)據(jù)包轉(zhuǎn)發(fā)出去。允許區(qū)域復(fù)制：③再次在服務(wù)器和客戶端PC1上進行DNS查詢。PC1上也可以進行DNS查詢，查詢情況同服務(wù)器，說明在防火墻中的配置策略生效，允許進行DNS查詢。[root@Server桌面]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:

（4）保護服務(wù)器的Web服務(wù)。①在客戶端訪問服務(wù)器的Web服務(wù)。

在客戶端的瀏覽器中輸入服務(wù)器的IP地址，訪問Web服務(wù)，如圖5所示。圖5由于防火墻已經(jīng)開啟，阻擋了Web服務(wù)的正常訪問，因此客戶端訪問Web服務(wù)失敗。②在防火墻中設(shè)置允許訪問服務(wù)器的Web服務(wù)。③再次在客戶端訪問服務(wù)器的Web服務(wù)。在客戶端上再次訪問服務(wù)器的Web服務(wù)，如圖6所示。[root@Server桌面]#iptables-AINPUT-ptcp--dport80-jACCEPT//在防火墻中允許目的端口為80的TCP數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT//在防火墻中允許源端口為80、已建立連接的TCP協(xié)議數(shù)據(jù)包輸出。圖6由于防火墻已經(jīng)設(shè)置允許訪問Web服務(wù)，因此客戶端可以成功訪問Web服務(wù)。（5）保護服務(wù)器的FTP服務(wù)。①在客戶端上訪問服務(wù)器的FTP服務(wù)。由于防火墻的阻礙，客戶端無法訪問服務(wù)器的FTP服務(wù)。②在防火墻中設(shè)置允許訪問服務(wù)器的FTP服務(wù)。[root@PC1桌面]#ftpftp:connect:連接超時[root@Server桌面]#iptables-AINPUT-ptcp--dport21-jACCEPT//在防火墻中允許訪問21端口的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport21-mstate--stateESTABLISHED-jACCEPT//在防火墻中允許來自21端口、已建立狀態(tài)的TCP協(xié)議數(shù)據(jù)包輸出。允許所有傳入連接的FTP：啟用主動FTP傳輸：[root@Server桌面]#iptables-AINPUT-ptcp--dport20-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中允許目的端口為20端口、已建立連接、且與本主機發(fā)送的數(shù)據(jù)包相關(guān)的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport20-jACCEPT//在防火墻中允許來自20端口的TCP協(xié)議數(shù)據(jù)包輸出。啟用被動FTP傳輸：[root@Server桌面]#iptables-AINPUT-ptcp--sport1024:65535--dport1024:65535-jACCEPT//在防火墻中允許來自端口號1024至65535、目的端口號為1024至65535的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport1024:65535--dport1024:65535-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中允許來自端口號1024至65535、目的端口號為1024至65535、已建立連接、且與本主機發(fā)送的數(shù)據(jù)包相關(guān)的TCP協(xié)議數(shù)據(jù)包輸出。③再次在客戶端上訪問服務(wù)器的FTP服務(wù)。在防火墻中允許訪問FTP服務(wù)后，客戶端可以正常訪問FTP服務(wù)。[root@PC1桌面]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.④查看服務(wù)器的防火墻列表。[root@Server桌面]#iptables-LChainINPUT(policyDROP)targetprotoptsourcedestinationACCEPTudp--anywhereanywhereudpdpt:domainACCEPTudp--anywhereanywhereudpspt:domainACCEPTtcp--0tcpdpt:domainACCEPTtcp--anywhereanywheretcpdpt:httpACCEPTtcp--anywhereanywheretcpdpt:ftpACCEPTtcp--anywhereanywheretcpdpt:ftp-datastateRELATED,ESTABLISHEDACCEPTtcp--anywhereanywheretcpspts:1024:65535dpts