《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目五 任務(wù)五 使用防火墻模塊提升Linux服務(wù)器的安全防御

項(xiàng)目五Linux服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一

加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御任務(wù)二

加強(qiáng)Linux系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御任務(wù)四

加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御任務(wù)五

使用防火墻模塊提升Linux服務(wù)器的安全防御任務(wù)提出

對(duì)網(wǎng)絡(luò)中的各種服務(wù)器實(shí)施安全配置后，服務(wù)器盡最大努力為網(wǎng)絡(luò)用戶提供安全的服務(wù)，但對(duì)服務(wù)器還需要進(jìn)行一些安全配置。對(duì)于Linux操作系統(tǒng)來(lái)說(shuō)，其系統(tǒng)本身提供了iptables防火墻模塊。Linux不但可以利用iptables模塊對(duì)本機(jī)的服務(wù)提供安全保護(hù)，而且還可以用它充當(dāng)網(wǎng)關(guān)，對(duì)局域網(wǎng)內(nèi)部用戶和服務(wù)進(jìn)行安全防護(hù)，可以通過(guò)利用防火墻模塊保護(hù)服務(wù)器的服務(wù)和利用防火墻模塊架設(shè)安全防火墻兩種方式進(jìn)行安全配置。

在網(wǎng)絡(luò)系統(tǒng)中服務(wù)器可以使用防火墻模塊進(jìn)行以下安全配置：1.使用防火墻模塊對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行安全防護(hù)

在防火墻模塊中，通過(guò)控制內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)，修改訪問(wèn)策略，指定NAT轉(zhuǎn)換，保護(hù)網(wǎng)絡(luò)訪問(wèn)的安全。2.使用防火墻模塊對(duì)Web服務(wù)器進(jìn)行安全防護(hù)

在防火墻模塊中配置策略文件，使得外網(wǎng)計(jì)算機(jī)通過(guò)服務(wù)器的公網(wǎng)地址訪問(wèn)服務(wù)器的Web服務(wù)器，以保護(hù)Web服務(wù)器的安全。3.使用防火墻模塊對(duì)FTP服務(wù)器進(jìn)行安全防護(hù)

在防火墻模塊中加載FTP模塊，配置外網(wǎng)計(jì)算機(jī)通過(guò)防火墻安全策略訪問(wèn)FTP服務(wù)，保護(hù)FTP服務(wù)器的安全。4.使用防火墻模塊架設(shè)安全防火墻，保護(hù)內(nèi)網(wǎng)用戶和服務(wù)

在防火墻模塊中，設(shè)置防火墻默認(rèn)規(guī)則，保護(hù)服務(wù)器的DNS、Web和FTP服務(wù)，配置防火墻日志，保護(hù)內(nèi)網(wǎng)用戶和訪問(wèn)服務(wù)的安全。任務(wù)分析1.使用防火墻模塊對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行安全防護(hù)Linux提供了一個(gè)非常優(yōu)秀的防火墻工具——netfilter/iptables。它完全免費(fèi)，功能強(qiáng)大，使用靈活，可以對(duì)流入和流出的信息進(jìn)行細(xì)化控制，且對(duì)計(jì)算機(jī)配置沒(méi)有較高要求，是進(jìn)行網(wǎng)絡(luò)安全防護(hù)的重要工具。netfilter/iptablesIP信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和刪除規(guī)則，這些規(guī)則是防火墻在進(jìn)行信息包過(guò)濾時(shí)所遵循的規(guī)則。它由netfilter和iptables兩個(gè)組件組成。netfilter組件也稱為內(nèi)核空間（kernelspace)，

是Linux內(nèi)核的一部分，由一些信息包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。iptables組件是一種工具，也稱為用戶空間(userspace)，它使插入、修改和刪除信息包過(guò)濾表中的規(guī)則變得容易。iptables防火墻只讀取數(shù)據(jù)包頭，不會(huì)給信息流增加負(fù)擔(dān)，也不需進(jìn)行驗(yàn)證。在使用防火墻模塊對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行安全防護(hù)時(shí)，可以在防火墻上指定網(wǎng)絡(luò)流量的進(jìn)出接口，對(duì)源IP地址和目的IP地址進(jìn)行過(guò)濾，還可以配置內(nèi)網(wǎng)在訪問(wèn)外網(wǎng)時(shí)進(jìn)行NAT轉(zhuǎn)換時(shí)的IP地址，同時(shí)也可以防止地址映射錯(cuò)誤，保護(hù)DNS和DHCP服務(wù)器的安全。2.使用防火墻模塊對(duì)Web服務(wù)器進(jìn)行安全防護(hù)

眾所周知，Web服務(wù)器是通過(guò)TCP協(xié)議的80端口提供服務(wù)器的，因此在防火墻模塊中可以限制從80端口進(jìn)出的流量，以防護(hù)Web服務(wù)器的安全。3.使用防火墻模塊對(duì)FTP服務(wù)器進(jìn)行安全防護(hù)FTP服務(wù)器通過(guò)20端口和21端口提供服務(wù)，其中21端口用于建立連接，20端口用于傳輸數(shù)據(jù)，因此要保護(hù)FTP服務(wù)器的安全，需要同時(shí)保護(hù)20端口和21端口的進(jìn)出數(shù)據(jù)。4.使用防火墻模塊架設(shè)安全防火墻，保護(hù)內(nèi)網(wǎng)用戶和服務(wù)

在防火墻模塊上設(shè)置允許訪問(wèn)回環(huán)地址，允許客戶端和服務(wù)器進(jìn)行DNS查詢，允許進(jìn)行DNS區(qū)域復(fù)制，允許客戶端訪問(wèn)Web服務(wù)和FTP服務(wù)，配置防火墻日志，將每種服務(wù)訪問(wèn)數(shù)據(jù)設(shè)置前綴，方便查看。知識(shí)鏈接Linux防火墻iptables用于實(shí)現(xiàn)Linux下IP訪問(wèn)控制的功能，通過(guò)定義防火墻的策略和規(guī)則使得防火墻發(fā)揮防護(hù)作用。netfilter和iptables組成Linux平臺(tái)下的包過(guò)濾防火墻，與大多數(shù)的Linux軟件一樣，它可以完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。

（1）防火墻的規(guī)則鏈和表。

在iptables中定義的規(guī)則，必須要放入內(nèi)核中供netfilter讀取，而放入內(nèi)核的地方，一共分為五處：1）內(nèi)核空間中：從一個(gè)網(wǎng)絡(luò)接口進(jìn)來(lái)，到另一個(gè)網(wǎng)絡(luò)接口出去。2）數(shù)據(jù)包從內(nèi)核流入用戶空間的。3）數(shù)據(jù)包從用戶空間流出的。4）進(jìn)入/離開(kāi)本機(jī)的外網(wǎng)接口。5）進(jìn)入/離開(kāi)本機(jī)的內(nèi)網(wǎng)接口。這五個(gè)位置也被稱為五個(gè)鉤子函數(shù)（hookfunctions），也稱為五個(gè)規(guī)則鏈。1）PREROUTING(路由前)。2）INPUT(數(shù)據(jù)包流入口)。3）FORWARD(轉(zhuǎn)發(fā)管卡)。4）OUTPUT(數(shù)據(jù)包出口)。5）POSTROUTING（路由后）。防火墻控制網(wǎng)絡(luò)報(bào)文的流程圖如圖1所示：圖1報(bào)文的流向如下：傳到本機(jī)的報(bào)文：prerouting-->input。由本機(jī)轉(zhuǎn)發(fā)的報(bào)文：prerouting-->forward-->postrouting。由本機(jī)的某個(gè)進(jìn)程發(fā)出報(bào)文：output-->postrouting。防火墻中的5個(gè)規(guī)則鏈包含在防護(hù)墻的4個(gè)表中，用來(lái)處理不同的數(shù)據(jù)報(bào)文，4個(gè)表分別為：filter表——負(fù)責(zé)過(guò)濾功能，防火墻。nat表——networkaddresstranslation，網(wǎng)路地址轉(zhuǎn)換功能。managle表——拆解報(bào)文，作出修改，并重新封裝。raw表——關(guān)閉nat表上啟用的鏈接追蹤機(jī)制。

某些鏈中只包含某些表，并不是每個(gè)鏈都包含上述4種表，表和鏈的對(duì)應(yīng)關(guān)系如圖2所示:圖2

當(dāng)一個(gè)鏈中同時(shí)包含四種表的時(shí)候，這四個(gè)表的優(yōu)先級(jí)順序如下:raw-->mangle-->nat-->filter

因?yàn)橹挥衞utput鏈能夠同時(shí)包含這四種表，所以防火墻文件中output項(xiàng)比較多。（2）防火墻的匹配規(guī)則。

只有滿足匹配規(guī)則的報(bào)文才能被防火墻轉(zhuǎn)發(fā)?；酒ヅ錀l件包括源地址SourceIP和目標(biāo)地址DestinationIP。擴(kuò)展匹配規(guī)則可以是源端口和目標(biāo)端口，源地址、目的地址、傳輸協(xié)議、服務(wù)協(xié)議等。當(dāng)規(guī)則匹配之后，處理方法如下：ACCEPT：允許通過(guò)；LOG：記錄日志信息，然后傳給下一條規(guī)則繼續(xù)匹配；REJECT：拒絕通過(guò)，必要時(shí)給出提示；DROP：直接丟棄，不給出任何回應(yīng)。匹配規(guī)則查看方法：iptables-tfilter-L查詢filter表的所有規(guī)則；iptables-traw-L查看raw表的所有規(guī)則。如使用iptables-L時(shí)，其默認(rèn)的表是filter表，效果等同于iptables-tfilter-L。任務(wù)實(shí)施1.使用防火墻模塊對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行安全防護(hù)操作步驟如下：步驟1實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)二知識(shí)點(diǎn)，在VMwareWorkstation中部署四臺(tái)RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)FW、server、PC1和PC2，四臺(tái)虛擬機(jī)的IP地址規(guī)劃如表所示。（如果電腦資源不夠，虛擬機(jī)不必全部同時(shí)開(kāi)啟，可以在不同實(shí)驗(yàn)階段開(kāi)啟相應(yīng)虛擬機(jī)即可；也可在多個(gè)互連的物理機(jī)上分別建立相應(yīng)的虛擬機(jī)）。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址默認(rèn)網(wǎng)關(guān)FW防火墻RedHatLinux6.4eth1:54/24

eth0:54/24server服務(wù)器RedHatLinux6.4/2454PC1內(nèi)網(wǎng)客戶端RedHatLinux6.40/2454PC2外網(wǎng)客戶端RedHatLinux6.4/2454步驟2關(guān)閉計(jì)算機(jī)的防火墻和selinux，并測(cè)試計(jì)算機(jī)之間的連通性。將計(jì)算機(jī)重啟，使得selinux設(shè)置生效。其他三臺(tái)虛擬機(jī)同樣設(shè)置。[root@Server桌面]#serviceiptablesstopiptables：清除防火墻規(guī)則：[確定]iptables：將鏈設(shè)置為政策ACCEPT：filter[確定]iptables：正在卸載模塊：[確定][root@Server桌面]#vim/etc/selinux/configSELINUX=disabled……[root@FW桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=2.00ms64bytesfrom:icmp_seq=2ttl=64time=0.598ms64bytesfrom:icmp_seq=3ttl=64time=0.434ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2373msrttmin/avg/max/mdev=0.434/1.012/2.006/0.706ms[root@FW桌面]#ping0PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=1.84ms64bytesfrom0:icmp_seq=2ttl=64time=0.500ms64bytesfrom0:icmp_seq=3ttl=64time=0.455ms^C---0pingstatistics---3packetstransmitted,3received,0%packetloss,time2585msrttmin/avg/max/mdev=0.455/0.932/1.841/0.643ms[root@FW桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=1.12ms64bytesfrom:icmp_seq=2ttl=64time=0.555ms64bytesfrom:icmp_seq=3ttl=64time=0.577ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2064msrttmin/avg/max/mdev=0.555/0.753/1.127/0.264ms步驟3在服務(wù)器上安裝網(wǎng)絡(luò)服務(wù)。①在server上安裝并啟動(dòng)FTP服務(wù)。詳細(xì)步驟見(jiàn)項(xiàng)目三任務(wù)二中任務(wù)實(shí)施步驟二。②在server上安裝并啟動(dòng)DNS服務(wù)。詳細(xì)步驟見(jiàn)項(xiàng)目五任務(wù)一中任務(wù)實(shí)施步驟二。③在server上安裝并啟動(dòng)DHCP服務(wù)。詳細(xì)步驟見(jiàn)項(xiàng)目五任務(wù)二中任務(wù)實(shí)施步驟二。④在server上安裝并啟動(dòng)Web服務(wù)。詳細(xì)步驟見(jiàn)項(xiàng)目五任務(wù)三中任務(wù)實(shí)施步驟二。步驟4啟用內(nèi)核的包轉(zhuǎn)發(fā)功能。①測(cè)試PC1和PC2之間能否相互訪問(wèn)。PC1和PC2之間不能相互訪問(wèn)。②在防火墻上打開(kāi)內(nèi)核的包轉(zhuǎn)發(fā)功能。經(jīng)查看發(fā)現(xiàn)，防火墻的包轉(zhuǎn)發(fā)功能默認(rèn)情況下是關(guān)閉的。再次查看，防火墻的包轉(zhuǎn)發(fā)功能已打開(kāi)。[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---15packetstransmitted,0received,100%packetloss,time14002ms[root@FW桌面]#sysctl-p[root@FW桌面]#vim/etc/sysctl.conf……#net.ipv4.ip_forward=0net.ipv4.ip_forward=1//打開(kāi)防火墻包轉(zhuǎn)發(fā)功能……[root@FW桌面]#sysctl-p③打開(kāi)防火墻。④測(cè)試PC1和PC2之間能否相互訪問(wèn)。[root@FW桌面]#serviceiptablesstartiptables：應(yīng)用防火墻規(guī)則：[確定][root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.70ms64bytesfrom:icmp_seq=2ttl=63time=0.982ms64bytesfrom:icmp_seq=3ttl=63time=1.37ms64bytesfrom:icmp_seq=4ttl=63time=0.913ms^C---pingstatistics---4packetstransmitted,4received,0%packetloss,time3159msrttmin/avg/max/mdev=0.913/1.995/4.707/1.575msPC1和PC2之間可以相互訪問(wèn)，這其實(shí)是防火墻充當(dāng)了路由器的功能，PC1發(fā)送給PC2的數(shù)據(jù)包先到達(dá)防火墻，然后防火墻再轉(zhuǎn)發(fā)給PC2，這樣就實(shí)現(xiàn)了不同網(wǎng)段的計(jì)算機(jī)的連通性。步驟5進(jìn)行防火墻初始設(shè)置。①清除防火墻規(guī)則。清除表filter的系統(tǒng)鏈規(guī)則：清除表filter的自定義鏈規(guī)則：清除nat表的系統(tǒng)鏈規(guī)則：清除nat表的自定義鏈規(guī)則：[root@FW桌面]#iptables-F[root@FW桌面]#iptables-X[root@FW桌面]#iptables-tnat-F[root@FW桌面]#iptables-tnat-X[root@FW桌面]#iptables-PINPUTDROP//拒絕接收數(shù)據(jù)。[root@FW桌面]#iptables-POUTPUTDROP//拒絕發(fā)送數(shù)據(jù)。[root@FW桌面]#iptables-PFORWARDDROP//拒絕轉(zhuǎn)發(fā)數(shù)據(jù)。[root@FW桌面]#iptables-tnat-PPREROUTINGACCEPT//允許NAT轉(zhuǎn)換輸入數(shù)據(jù)地址。[root@FW桌面]#iptables-tnat-POUTPUTACCEPT//允許NAT轉(zhuǎn)發(fā)傳送數(shù)據(jù)。[root@FW桌面]#iptables-tnat-PPOSTROUTINGACCEPT//允許NAT轉(zhuǎn)換輸出數(shù)據(jù)地址。②設(shè)置防火墻的默認(rèn)規(guī)則。③保存防火墻規(guī)則，并啟動(dòng)防火墻。[root@FW桌面]#iptables-LChainINPUT(policyDROP)targetprotoptsourcedestinationChainFORWARD(policyDROP)targetprotoptsourcedestinationChainOUTPUT(policyDROP)targetprotoptsourcedestination[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart④查看防火墻規(guī)則。⑤測(cè)試PC1和PC2之間的連通性。

由于防火墻規(guī)則已被清空，進(jìn)行了重新設(shè)置，PC1和PC2之間的數(shù)據(jù)包不再能夠通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā)，兩臺(tái)計(jì)算機(jī)之間的連通性被斷開(kāi)。[root@FW桌面]#iptables-L-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---33packetstransmitted,0received,100%packetloss,time32959ms步驟6允許內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)Internet。①測(cè)試PC1和PC2之間能否相互訪問(wèn)。

經(jīng)過(guò)步驟5的設(shè)置，PC1和PC2由于不在同一網(wǎng)絡(luò)，防火墻策略不支持傳送內(nèi)外網(wǎng)之間的數(shù)據(jù)包，PC1和PC2之間無(wú)法相互訪問(wèn)。[root@PC1桌面]#pingPING()56(84)bytesofdata.^C---pingstatistics---7packetstransmitted,0received,100%packetloss,time6586ms②在防火墻上配置策略，允許內(nèi)網(wǎng)計(jì)算機(jī)訪問(wèn)外網(wǎng)。[root@FW桌面]#iptables-AFORWARD-ieth0-oeth1-s/24-dany/0-jACCEPT//防火墻允許來(lái)自網(wǎng)絡(luò)到達(dá)其他所有主機(jī)的數(shù)據(jù)流量自eth0網(wǎng)口進(jìn)入，eth1網(wǎng)口流出。[root@FW桌面]#iptables-AFORWARD-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中添加一條轉(zhuǎn)發(fā)規(guī)則：對(duì)進(jìn)來(lái)的數(shù)據(jù)包的狀態(tài)進(jìn)行檢測(cè)，對(duì)已經(jīng)建立tcp連接的數(shù)據(jù)包以及該連接相關(guān)的數(shù)據(jù)包允許通過(guò)。知識(shí)鏈接：Iptables參數(shù)-mstate--state<狀態(tài)>這條命令中有多種狀態(tài)，主要有：（1）INVALID：表示無(wú)效的數(shù)據(jù)包，例如數(shù)據(jù)破損的數(shù)據(jù)包狀態(tài)；（2）ESTABLISHED：已經(jīng)聯(lián)機(jī)成功的聯(lián)機(jī)狀態(tài)；（3）NEW：需要新建立聯(lián)機(jī)的數(shù)據(jù)包狀態(tài)；（4）RELATED：這個(gè)狀態(tài)經(jīng)常用，表示這個(gè)數(shù)據(jù)包與主機(jī)發(fā)送出去的數(shù)據(jù)包有關(guān)，可能是響應(yīng)數(shù)據(jù)包或者是聯(lián)機(jī)成功之后的傳送數(shù)據(jù)包，因此這個(gè)狀態(tài)經(jīng)常被設(shè)置，設(shè)置該狀態(tài)后，只要是由本機(jī)發(fā)送出去的數(shù)據(jù)包，即使沒(méi)有設(shè)置數(shù)據(jù)包的INPUT規(guī)則，該有關(guān)的數(shù)據(jù)包均可以進(jìn)入主機(jī)，可以簡(jiǎn)化很多設(shè)置規(guī)則。③保存策略，重新啟動(dòng)防火墻。④再次測(cè)試PC1和PC2之間能否相互訪問(wèn)。

由于防火墻中已經(jīng)設(shè)置了自PC1發(fā)送出去的數(shù)據(jù)包自防火墻的eth0網(wǎng)口進(jìn)入，eth1網(wǎng)口轉(zhuǎn)發(fā)出去，所以PC1可以成功發(fā)送數(shù)據(jù)包至PC2。PC2響應(yīng)PC1的ICMP數(shù)據(jù)包也被允許通過(guò)，因此，ping命令得以成功執(zhí)行。[root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.90ms64bytesfrom:icmp_seq=2ttl=63time=0.984ms64bytesfrom:icmp_seq=3ttl=63time=1.05ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2165msrttmin/avg/max/mdev=0.984/2.314/4.909/1.835ms[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤在PC2上抓取PC1發(fā)送的數(shù)據(jù)包，觀察源地址是否為PC1的地址。在PC1上pingPC2，然后在PC2上進(jìn)行抓包。由這句結(jié)果可以得出，PC1發(fā)送給PC2的數(shù)據(jù)包的源地址為PC1的地址。⑥在防火墻上查看網(wǎng)絡(luò)地址轉(zhuǎn)換表。NAT表中的記錄為空，說(shuō)明PC1向PC2發(fā)送數(shù)據(jù)時(shí)沒(méi)有經(jīng)過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換。[root@PC2桌面]#tcpdump-ieth0-v……0>:ICMPechorequest,id9748,seq6,length64……[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑦在防火墻上配置內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)需進(jìn)行NAT轉(zhuǎn)換。⑧保存策略，重新啟動(dòng)防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADE//對(duì)防火墻的NAT表添加規(guī)則，

網(wǎng)絡(luò)中的主機(jī)發(fā)送到公網(wǎng)的數(shù)據(jù)包自eth1網(wǎng)口發(fā)送，并且要進(jìn)行IP地址偽裝，即NAT轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-APOSTROUTING-s/24-jSNAT--to-source54//對(duì)防火墻的NAT表添加規(guī)則，網(wǎng)絡(luò)中的主機(jī)向外網(wǎng)發(fā)送數(shù)據(jù)包時(shí)需將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑨再次查看網(wǎng)絡(luò)地址轉(zhuǎn)換表。

由表可見(jiàn)，在轉(zhuǎn)換策略中，將網(wǎng)絡(luò)中地址靜態(tài)轉(zhuǎn)換為54。[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEall--/24/0SNATall--/24/0to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑩觀察PC1訪問(wèn)PC2，并在PC2上抓取PC1發(fā)送的數(shù)據(jù)包，觀察源地址是否為PC1的地址。在PC1上pingPC2，然后在PC2上進(jìn)行抓包。[root@PC1桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=63time=4.09ms64bytesfrom:icmp_seq=2ttl=63time=1.03ms64bytesfrom:icmp_seq=3ttl=63time=5.09ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2112msrttmin/avg/max/mdev=1.032/3.407/5.092/1.729ms[root@PC2桌面]#tcpdump-ieth0-v……54>:ICMPechorequest,id48662,seq7,length6421:15:31.438209IP(tos0x0,ttl64,id14848,offset0,flags[none],protoICMP(1),length84)>54:ICMPechoreply,id48662,seq7,length6421:15:31.438795IP(tos0x0,ttl63,id14848,offset0,flags[none],protoICMP(1),length84)……

由結(jié)果可知，PC1發(fā)送給PC2的數(shù)據(jù)包，轉(zhuǎn)換為源地址為54發(fā)送和接收。2.使用防火墻模塊對(duì)Web服務(wù)器進(jìn)行安全防護(hù)步驟7允許外網(wǎng)計(jì)算機(jī)訪問(wèn)Server的Web服務(wù)。①測(cè)試PC2能否訪問(wèn)Server的Web服務(wù)。圖3如圖3所示，PC2無(wú)法訪問(wèn)Web服務(wù)器，也無(wú)法與之建立連接。②配置外網(wǎng)計(jì)算機(jī)通過(guò)服務(wù)器的公網(wǎng)地址能夠訪問(wèn)Server的Web服務(wù)。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport80-jMASQUERADE//在POSTROUTING鏈的頭部添加新規(guī)則，將訪問(wèn)TCP協(xié)議80端口的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-APREROUTING-d54-ptcp--dport80-jDNAT--to//在防火墻的NAT表PREROUTING鏈中添加規(guī)則，對(duì)于目的地址為54，訪問(wèn)端口為80的TCP數(shù)據(jù)包，將經(jīng)過(guò)動(dòng)態(tài)轉(zhuǎn)換轉(zhuǎn)發(fā)給。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport80-jACCEPT//在防火墻規(guī)則中添加規(guī)則，允許轉(zhuǎn)發(fā)發(fā)送到eth0網(wǎng)卡，目的地址為，使用TCP協(xié)議訪問(wèn)80端口的數(shù)據(jù)包。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT//在防火墻規(guī)則中添加規(guī)則，允許轉(zhuǎn)發(fā)來(lái)自主機(jī)的80端口發(fā)送的且已經(jīng)建立連接的、由eth0網(wǎng)口進(jìn)入的TCP數(shù)據(jù)包。③保存策略文件，并重新啟動(dòng)防火墻。④重新測(cè)試PC2能否訪問(wèn)Server的Web服務(wù)，如圖4所示。圖4[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤測(cè)試PC1能否通過(guò)外網(wǎng)地址訪問(wèn)Server上的Web服務(wù)。測(cè)試結(jié)果同圖4，PC1可以通過(guò)外網(wǎng)地址訪問(wèn)Server上的Web服務(wù)。⑥進(jìn)行源地址轉(zhuǎn)換，使響應(yīng)包正確返回。⑦保存策略文件，并重新啟動(dòng)防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-d-ptcp--dport80-jSNAT--to54//在NAT表POSTROUTING鏈中添加規(guī)則，對(duì)于目的地址為、自TCP協(xié)議80端口轉(zhuǎn)發(fā)的數(shù)據(jù)包，將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDNATtcp--/0/0tcpdpt:80to:DNATtcp--/054tcpdpt:80to::80ChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEtcp--/0/0tcpdpt:80MASQUERADEall--/24/0SNATall--/24/0to:54SNATtcp--/0tcpdpt:80to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑧查看網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)表。⑨再次測(cè)試PC1能否通過(guò)外網(wǎng)地址訪問(wèn)server的Web服務(wù)。測(cè)試結(jié)果同圖5-6，PC1可以通過(guò)外網(wǎng)地址訪問(wèn)Server上的Web服務(wù)。使用以下命令在PC1上查看訪問(wèn)web網(wǎng)頁(yè)的數(shù)據(jù)包。

由抓取的數(shù)據(jù)包可以發(fā)現(xiàn)，發(fā)送給PC1的http數(shù)據(jù)包的源地址已轉(zhuǎn)換為54。[root@PC1桌面]#tcpdump-ieth0-v……54.http>0.54689:Flags[S.],cksum0xdb8e(correct),seq1101565717,ack1641647761,win14480,options[mss1460,sackOK,TSval35364022ecr60214931,nop,wscale6],length022:43:38.261252IP(tos0x0,ttl64,id16388,offset0,flags[DF],protoTCP(6),length52)0.54689>54.http:Flags[.],cksum0x4203(correct),ack1,win229,options[nop,nop,TSval60214933ecr35364022],length022:43:38.261418IP(tos0x0,ttl64,id52885,offset0,flags[DF],protoUDP(17),length71)……3.使用防火墻模塊對(duì)FTP服務(wù)器進(jìn)行安全防護(hù)步驟8允許外網(wǎng)計(jì)算機(jī)訪問(wèn)server的FTP服務(wù)。①測(cè)試PC2能否訪問(wèn)server的FTP服務(wù)。測(cè)試結(jié)果為PC2不能訪問(wèn)server的FTP服務(wù)。②在防火墻上發(fā)布FTP服務(wù)，加載FTP模塊。③在防火墻上配置外網(wǎng)計(jì)算機(jī)能夠訪問(wèn)server的FTP服務(wù)。nat表中的配置：[root@PC2桌面]#ftp54ftp:connect:連接超時(shí)[root@FW桌面]#modprobeip_nat_ftp[root@FW桌面]#modprobeip_conntrack_ftp[root@FW桌面]#iptables-tnat-IPREROUTING-d54-ptcp--dport21-jDNAT--to//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將使用TCP協(xié)議21端口訪問(wèn)54的數(shù)據(jù)包的目的地址轉(zhuǎn)換為。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport21-jMASQUERADE//在防火墻NAT表的POSTROUTING鏈中增加規(guī)則，將訪問(wèn)tcp協(xié)議21端口的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。[root@FW桌面]#iptables-tnat-IPREROUTING-d54-ptcp--dport20-jDNAT--to//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將使用TCP協(xié)議20端口訪問(wèn)54的數(shù)據(jù)包的目的地址轉(zhuǎn)換為。[root@FW桌面]#iptables-tnat-IPOSTROUTING-ptcp--dport20-jMASQUERADE//在防火墻NAT表的PREROUTING鏈中增加規(guī)則，將訪問(wèn)tcp協(xié)議20端口的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。FORWARD鏈中的配置：[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport21-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于從eth0網(wǎng)口使用TCP協(xié)議21端口發(fā)送到的數(shù)據(jù)包允許轉(zhuǎn)發(fā)。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport21-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于從eth0網(wǎng)口使用TCP協(xié)議21端口進(jìn)入、且建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport20-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于從eth0網(wǎng)口使用TCP協(xié)議20端口進(jìn)入、并且是與該主機(jī)發(fā)送的數(shù)據(jù)包有關(guān)的、建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport20-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于從eth0網(wǎng)口使用TCP協(xié)議20端口發(fā)送到主機(jī)、且建立了連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-oeth0-d-ptcp--dport1024:-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于從eth0網(wǎng)口轉(zhuǎn)發(fā)到上的大于1024的TCP端口、并且是與該主機(jī)發(fā)送的數(shù)據(jù)包有關(guān)的、已建立連接的數(shù)據(jù)包允許接收。[root@FW桌面]#iptables-AFORWARD-ieth0-s-ptcp--sport1024:-mstate--stateESTABLISHED-jACCEPT//在防火墻的filter表的FORWARD鏈中添加規(guī)則，對(duì)于來(lái)自eth0網(wǎng)口、并且是來(lái)自的大于1024的使用TCP協(xié)議的端口、已經(jīng)建立了連接的轉(zhuǎn)入數(shù)據(jù)包，允許接收。④保存策略文件，并重新啟動(dòng)防火墻。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart⑤再次測(cè)試PC2能否訪問(wèn)server的FTP服務(wù)。PC2可以訪問(wèn)server的FTP服務(wù)。[root@PC2桌面]#ftp54Connectedto54(54).220(vsFTPd2.2.2)Name(54:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>⑥測(cè)試PC1能否通過(guò)外網(wǎng)地址訪問(wèn)server的FTP服務(wù)。如步驟⑤所示，PC1也可以訪問(wèn)server的FTP服務(wù)。⑦進(jìn)行源地址轉(zhuǎn)換，使回應(yīng)包正確返回。⑧保存策略文件，并重新啟動(dòng)防火墻。[root@FW桌面]#iptables-tnat-APOSTROUTING-d-ptcp--dport21-jSNAT--to54//在NAT表POSTROUTING鏈中添加規(guī)則，對(duì)于目的地址為、自TCP協(xié)議80端口轉(zhuǎn)發(fā)的數(shù)據(jù)包，將源地址轉(zhuǎn)換為54。[root@FW桌面]#iptables-save>/etc/sysconfig/iptables[root@FW桌面]#serviceiptablesrestart[root@FW桌面]#iptables-L-n-tnatChainPREROUTING(policyACCEPT)targetprotoptsourcedestinationDNATtcp--/054tcpdpt:20to:DNATtcp--/054tcpdpt:21to:DNATtcp--/054tcpdpt:80to:ChainPOSTROUTING(policyACCEPT)targetprotoptsourcedestinationMASQUERADEtcp--/0/0tcpdpt:20MASQUERADEtcp--/0/0tcpdpt:21MASQUERADEtcp--/0/0tcpdpt:80MASQUERADEall--/24/0SNATall--/24/0to:54SNATtcp--/0tcpdpt:80to:54SNATtcp--/0tcpdpt:21to:54ChainOUTPUT(policyACCEPT)targetprotoptsourcedestination⑨查看網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)表。⑩再次測(cè)試PC1能否通過(guò)外網(wǎng)地址訪問(wèn)server的FTP服務(wù)。如步驟⑥所示，PC1依然可以訪問(wèn)server的FTP服務(wù)。4.使用防火墻模塊架設(shè)安全防火墻，保護(hù)內(nèi)網(wǎng)用戶和服務(wù)步驟9開(kāi)啟服務(wù)器的防火墻，并設(shè)置防火墻的默認(rèn)規(guī)則。（1）如步驟5所示，清除防火墻規(guī)則，設(shè)置防火墻的默認(rèn)規(guī)則，并保存和重啟防火墻。（2）允許訪問(wèn)回環(huán)地址。①在服務(wù)器上嘗試ping回環(huán)地址。[root@Server桌面]#pingPING()56(84)bytesofdata.ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作ping:sendmsg:不允許的操作^C---pingstatistics---4packetstransmitted,0received,100%packetloss,time3365ms由于在服務(wù)器上打開(kāi)并設(shè)置了防火墻，服務(wù)器不能夠ping通回環(huán)地址。②在服務(wù)器上配置防火墻規(guī)則，允許訪問(wèn)回環(huán)地址。③再次在服務(wù)器上嘗試ping回環(huán)地址。在服務(wù)器的防火墻規(guī)則中允許訪問(wèn)回環(huán)地址，所以服務(wù)器可以正常ping通回環(huán)地址。[root@Server桌面]#iptables-AINPUT-s-d-jACCEPT//防火墻允許源地址為、目的地址為的輸入數(shù)據(jù)包通過(guò)。[root@Server桌面]#iptables-AOUTPUT-s-d-jACCEPT//防火墻允許源地址為、目的地址為的輸出數(shù)據(jù)包通過(guò)。[root@Server桌面]#pingPING()56(84)bytesofdata.64bytesfrom:icmp_seq=1ttl=64time=0.216ms64bytesfrom:icmp_seq=2ttl=64time=0.052ms64bytesfrom:icmp_seq=3ttl=64time=0.052ms^C---pingstatistics---3packetstransmitted,3received,0%packetloss,time2251msrttmin/avg/max/mdev=0.052/0.106/0.216/0.078ms（3）保護(hù)服務(wù)器的DNS服務(wù)。①分別在服務(wù)器和客戶端PC1上嘗試進(jìn)行DNS查詢。PC1上查詢結(jié)果同樣無(wú)法查詢。

由于在服務(wù)器上開(kāi)啟了防火墻，阻礙了DNS查詢，所以在服務(wù)器和PC1上均無(wú)法進(jìn)行DNS查詢。②在服務(wù)器防火墻規(guī)則中設(shè)置允許DNS查詢。

由于DNS查詢過(guò)程包括遞歸查詢和迭代查詢過(guò)程，DNS服務(wù)器在整個(gè)查詢過(guò)程中既是服務(wù)器又是客戶端，所以在設(shè)置DNS查詢規(guī)則時(shí)需要從服務(wù)器和客戶端兩方面進(jìn)行設(shè)置。[root@Servernamed]#nslookup>;;connectiontimedout;tryingnextorigin;;connectiontimedout;noserverscouldbereached允許以服務(wù)器端角色進(jìn)行DNS查詢：[root@Server桌面]#iptables-AINPUT-pudp--dport53-jACCEPT//以服務(wù)器端角色進(jìn)行DNS查詢，防火墻對(duì)于訪問(wèn)53端口的輸入進(jìn)來(lái)的數(shù)據(jù)包允許通過(guò)。[root@Server桌面]#iptables-AOUTPUT-pudp--sport53-jACCEPT//以服務(wù)器端角色進(jìn)行DNS查詢，防火墻對(duì)于53端口發(fā)送出去的數(shù)據(jù)包允許通過(guò)。[root@Server桌面]#iptables-AOUTPUT-pudp--dport53-jACCEPT//以客戶端角色進(jìn)行DNS查詢，防火墻對(duì)于訪問(wèn)53端口的輸出的數(shù)據(jù)包允許通過(guò)。[root@Server桌面]#iptables-AINPUT-pudp--sport53-jACCEPT//以客戶端角色進(jìn)行DNS查詢，防火墻對(duì)于從53端口發(fā)送過(guò)來(lái)的數(shù)據(jù)包允許通過(guò)。允許以客戶端角色進(jìn)行DNS查詢：[root@Server桌面]#iptables-AINPUT-ptcp-s0-d--dport53-jACCEPT//防火墻允許源地址為0、目的地址為的TCP協(xié)議數(shù)據(jù)包輸入并訪問(wèn)53端口。[root@Server桌面]#iptables-AOUTPUT-ptcp-s-d0--sport53-jACCEPT//防火墻允許源地址為

、目的地址為0、源端口為53的TCP協(xié)議數(shù)據(jù)包轉(zhuǎn)發(fā)出去。允許區(qū)域復(fù)制：③再次在服務(wù)器和客戶端PC1上進(jìn)行DNS查詢。PC1上也可以進(jìn)行DNS查詢，查詢情況同服務(wù)器，說(shuō)明在防火墻中的配置策略生效，允許進(jìn)行DNS查詢。[root@Server桌面]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:

（4）保護(hù)服務(wù)器的Web服務(wù)。①在客戶端訪問(wèn)服務(wù)器的Web服務(wù)。

在客戶端的瀏覽器中輸入服務(wù)器的IP地址，訪問(wèn)Web服務(wù)，如圖5所示。圖5由于防火墻已經(jīng)開(kāi)啟，阻擋了Web服務(wù)的正常訪問(wèn)，因此客戶端訪問(wèn)Web服務(wù)失敗。②在防火墻中設(shè)置允許訪問(wèn)服務(wù)器的Web服務(wù)。③再次在客戶端訪問(wèn)服務(wù)器的Web服務(wù)。在客戶端上再次訪問(wèn)服務(wù)器的Web服務(wù)，如圖6所示。[root@Server桌面]#iptables-AINPUT-ptcp--dport80-jACCEPT//在防火墻中允許目的端口為80的TCP數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport80-mstate--stateESTABLISHED-jACCEPT//在防火墻中允許源端口為80、已建立連接的TCP協(xié)議數(shù)據(jù)包輸出。圖6由于防火墻已經(jīng)設(shè)置允許訪問(wèn)Web服務(wù)，因此客戶端可以成功訪問(wèn)Web服務(wù)。（5）保護(hù)服務(wù)器的FTP服務(wù)。①在客戶端上訪問(wèn)服務(wù)器的FTP服務(wù)。由于防火墻的阻礙，客戶端無(wú)法訪問(wèn)服務(wù)器的FTP服務(wù)。②在防火墻中設(shè)置允許訪問(wèn)服務(wù)器的FTP服務(wù)。[root@PC1桌面]#ftpftp:connect:連接超時(shí)[root@Server桌面]#iptables-AINPUT-ptcp--dport21-jACCEPT//在防火墻中允許訪問(wèn)21端口的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport21-mstate--stateESTABLISHED-jACCEPT//在防火墻中允許來(lái)自21端口、已建立狀態(tài)的TCP協(xié)議數(shù)據(jù)包輸出。允許所有傳入連接的FTP：?jiǎn)⒂弥鲃?dòng)FTP傳輸：[root@Server桌面]#iptables-AINPUT-ptcp--dport20-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中允許目的端口為20端口、已建立連接、且與本主機(jī)發(fā)送的數(shù)據(jù)包相關(guān)的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport20-jACCEPT//在防火墻中允許來(lái)自20端口的TCP協(xié)議數(shù)據(jù)包輸出。啟用被動(dòng)FTP傳輸：[root@Server桌面]#iptables-AINPUT-ptcp--sport1024:65535--dport1024:65535-jACCEPT//在防火墻中允許來(lái)自端口號(hào)1024至65535、目的端口號(hào)為1024至65535的TCP協(xié)議數(shù)據(jù)包輸入。[root@Server桌面]#iptables-AOUTPUT-ptcp--sport1024:65535--dport1024:65535-mstate--stateESTABLISHED,RELATED-jACCEPT//在防火墻中允許來(lái)自端口號(hào)1024至65535、目的端口號(hào)為1024至65535、已建立連接、且與本主機(jī)發(fā)送的數(shù)據(jù)包相關(guān)的TCP協(xié)議數(shù)據(jù)包輸出。③再次在客戶端上訪問(wèn)服務(wù)器的FTP服務(wù)。在防火墻中允許訪問(wèn)FTP服務(wù)后，客戶端可以正常訪問(wèn)FTP服務(wù)。[root@PC1桌面]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.④查看服務(wù)器的防火墻列表。[root@Server桌面]#iptables-LChainINPUT(policyDROP)targetprotoptsourcedestinationACCEPTudp--anywhereanywhereudpdpt:domainACCEPTudp--anywhereanywhereudpspt:domainACCEPTtcp--0tcpdpt:domainACCEPTtcp--anywhereanywheretcpdpt:httpACCEPTtcp--anywhereanywheretcpdpt:ftpACCEPTtcp--anywhereanywheretcpdpt:ftp-datastateRELATED,ESTABLISHEDACCEPTtcp--anywhereanywheretcpspts:1024:65535dpts