第十二章 代理与防火墙

代理/防火墙第十二章网络技术应用网目标了解网络中防火墙的基本概念及其分类了解代理服务的概念和分类掌握使用iptables工具建立包过滤防火墙的方法了解网络地址转换与路由的概念掌握配置网络地址转换的方法了解squid代理服务器的工作机制及其功能掌握使用squid建立代理服务器的方法网络技术应用网基本概念应用层代理网络层防火墙防火墙与代理的管理网络技术应用网协议模型网络技术应用网协议模型网络技术应用网防火墙与代理的管理防火墙管理IpfwadmIpchainsNetfilter/iptables代理管理apachesquidsocks网络技术应用网iptables基本原理NAT与路由iptables安装配置网络技术应用网基本原理netfilter包过滤检查框架数据输入应用层传输层网络层链路层NF_IP_PRE_ROUTINGNF_IP_LOCAL_OUTNF_IP_LOCAL_INNF_IP_POST_ROUTINGNF_IP_FORWARD路由路由数据输出TCP/IP协议模型netfilter框架结构网络技术应用网基本原理（Cont.）iptables安全规则管理工具五条内建规则链，对应于netfilter钩子函数PREROUTINGFORWARDPOSTROUTINGINPUTOUTPUT上层应用程序(接收或发送网络数据)网络技术应用网基本原理（Cont.）iptables规则表FilterINPUT、FORWARD、OUTPUTNATPREROUTING、POSTROUTING、INPUT、OUTPUTMangleOUTPUT、PREROUTING网络技术应用网与路由路由互联网路由器路由为A到B寻找一条最小开销的连接线路AB网络技术应用网与路由（Cont.）NAT互联网路由器A192.168.0.1B211.35.27.9NAT192.168.0.1202.13.6.10192.168.0.1202.13.6.10网络技术应用网与路由（Cont.）NAT的使用NAT的类型静态网络地址转换动态网络地址转换端口转换iptables实现NATSNATDNATMASQUERADE网络技术应用网安装配置安装配置网络技术应用网安装源代码编译安装下载编译安装RPM包安装://ftp.netfilter.org/pub/iptables/iptables-x.x.x.tar.bz2rpm-ivhiptables-1.2.7a.i386.rpm网络技术应用网配置语法可以简化成以下形式：iptables[-ttable]CMD[chain][rule-amtcher][-jtarget]iptables-[AD]chainrule-specification[options]iptables-[RI]chainrulenumrule-spec[options]iptables-Dchainrulenum[options]iptables-[LFZ][chain][options]iptables-[NX]chainiptables-Eold-chain-namenew-chain-nameiptables-Pchaintarget[options]iptables-h(printthishelpinformation)网络技术应用网配置（Cont.）规则操作参数说明：-A：在所选择的链末添加一条或多条规则-D：从所选链中删除一条或多条规则-R：从选中的链中取代一条规则-I：从所选链中插入一条或更多规则-L：显示所选链的所有规则-F：清空所选链-Z：把所有链的包及字节的计数器清空-N：根据给出的名称建立一个新的用户定义链-X：删除指定的用户自定义链-P：设置链的目标规则-E：根据用户给出的名子对指定链进行冲命名网络技术应用网配置（Cont.）规则选项选项说明-p[!]protocol指定协议-s[!]address[/mask]指定源地址-d[!]address[/mask]指定目的地址-jtarget指定规则的目标（执行的活动）-i[!][name]指定数据包进入的物理接口-o[!][name]指定数据包送出的物理接口网络技术应用网配置（Cont.）规则扩展选项tcp扩展udp扩展icmp扩展mac扩展limit扩展multiport扩展网络技术应用网配置（Cont.）目标扩展ACCEPT:让包通过DROP:把包拒绝REJECT：把包丢弃,并向发送者发送ICMP消息告知包被丢弃。SNAT：只适用于nat表的POSTROUTING链。它规定修改包的源地址，停止对规则的检查。MASQUERADE：只用于转发链和用户定义链。包被伪装成从本地主机发出，回应的包自动解伪。REDIRECT：只用于输入链和用户定义链。包被重定向到本地，尽管它们原是要发送给一个远地主机。可使用参数，指定重定向端口。缺省为0，表示使用包的目的地址端口做为重定向端口。网络技术应用网配置（Cont.）iptables–AINPUT–ptcpiptables–ptcp–sport80iptables–aFORWARD–ptcp–tcp-flagsALLSYN,ACKiptables–AINPUT–mlimit–limit300/houriptables–AINPUT–m--stateRELATED,ESTABLISHED网络技术应用网配置（Cont.）包过滤配置192.168.1.157192.168.1.35192.168.1.42透明代理局域网配置（Cont.）NAT配置DNATSNATMASQUERADEiptables-tnat-APREROUTING-ttcp-d10.25.0.7-dport80-ieth1-jDNAT--to192.168.1.2:80iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jSNAT--to10.25.0.7iptables-tnat-APOSTROUTING-oppp0-jMASQUERADE网络技术应用网squid工作机制与基本功能squid组成成分squid安装配置网络技术应用网工作机制与基本功能工作机制数据缓存代理进程远端服务器客户端?N网络技术应用网工作机制与基本功能（Cont.）基本功能代理服务：HTTP、FTP、GOPHER、SSL等高速缓存DNS查询缓存级联服务支持透明代理ACL支持网络技术应用网组成成分代理进程squid代理守护进程unlinkd清理缓存数据RunCachesquid进程的守护进程dnsserver处理客户端域名查询进程数据缓存目录默认/var/spool/squid网络技术应用网安装配置安装配置启动访问其它配置透明代理网络技术应用网安装源代码包安装下载编译安装RPM包安装编译参数--prefix=/usr/local/squid--disable-internal-dns--enable-storeio=ufs,null--enable-default-err-languages=Simplify_Chinese“--enable-linux-netfilter配置http_port192.168.0.2:3128cache_mgradmin@proxy.comhttp_accessallowallcache_dirufs/var/spool/squid10016256网络技术应用网启动使用/etc/rc.d/init.d/squid脚本启动代理服务器网络技术应用网访问客户端设置IE工具Internet选项连接局域网设置代理服务器直接在地址栏中输入访问地址进行访问网络技术应用网其它配置缓存空间cache_dirTypeDirectory-NameFs-specific-data[options]用户访问控制aclaclnameacltypestring1...aclaclnameacltypefile...进程管理cache_effective_usercache_effective_group网络技术应用网允许列表中的机器访问Internet。aclallowed_clientssrc192.168.0.10192.168.0.20192.168.0.30http_accessallowallowed_clientshttp_accessdeny!allowed_clients这个规则只允许IP地址为192.168.0.10、192.168.0.20及192.168.0.30的机器访问Internet，其他IP地址的机器则都被拒绝访问网络技术应用网限制访问时段aclallowed_clientssrc192.168.0.1/255.255.255.0aclregular_daystimeMTWHF10:00-16:00http_accessallowallowed_clientsregular_dayshttp_accessdeny!allowed_clients这个规则允许子网192.168.0.1中的所有客户机在周一到周五的上午10:00到下午4:00访问Internet。网络技术应用网屏蔽含有某些特定字词aclallowed_clientssrc192.168.0.1/255.255.255.0aclbanne