《代理及防火墙》PPT课件.ppt

LinuxLinux系统操作系统操作系统操作系统操作第第11章章 代理及防火墙代理及防火墙上一章内容回顾上一章内容回顾上一章内容回顾上一章内容回顾vLinux系统的系统的telnet服务服务vWindow系统的系统的telnet服务服务vLinux系统的系统的vsftp服务服务vLinux系统的系统的ssh服务服务Page 2本章学习目标本章学习目标本章学习目标本章学习目标v熟悉熟悉squid代理服务器的安装配置代理服务器的安装配置v熟悉熟悉iptables防火墙的工作原理防火墙的工作原理v熟练熟练iptables防火墙的安装配置防火墙的安装配置Page 3内容进度内容进度内容进度内容进度vsquid的安装配置的安装配置viptables的工作原理viptables的安装配置Page 4squidsquid的安装配置的安装配置v应用代理技术应用代理技术想从内部网访问外部的服务器？我帮你发请求吧。Page 5squidsquid的安装配置的安装配置v代理服务器及代理服务器及squid作用作用 代理服务器的作用沟通内部网络和Internet权限控制缓存访问内容squid的功能FTPHTTP不支持socksPage 6squidsquid的安装配置的安装配置vSquid代理服务器代理服务器squid-2.5.STABLE1-2.i386.rpm 端口号3128/etc/rc.d/init.d/squid 服务器启动、停止脚本/usr/sbin/squid 服务器守护进程/etc/squid/squid.conf 服务器运行配置文件/var/log/squid 服务器运行日志文件所在目录Page 7squidsquid的安装配置的安装配置vSquid配置配置配置文件/etc/squid/squid.confhttp_port 指定Squid监听客户请求的端口，缺省端口3128cache_mem 配置缓冲内存的大小maximum_object_size 单位为K，大于该值的对象不存储。cache_dir 配置代理服务器的硬盘缓冲目录和大小，以存储访问过的页面/var/spool/squid Page 8squidsquid的安装配置的安装配置vSquid配置配置cache_access_log 指定记录客户请求日志的路径。默认/var/log/squid/access.log ftp_user 设置登录匿名FTP服务器时提供的电子邮件地址。dns_nameservers 指定DNS服务器列表Page 9squidsquid的安装配置的安装配置vsquid配置配置acl 定义访问控制列表acl aclname acltype string1.acl aclname acltype“file”.tcltype可以是src、dst、port、proto、method等 acl 示例acl all src 0.0.0.0/0.0.0.0 acl Safe_ports port 80 Page 10squidsquid的安装配置的安装配置vsquid配置配置http_access 根据前面定义的访问控制列表设置允许或根据前面定义的访问控制列表设置允许或禁止某类访问。禁止某类访问。allow-deny-allow-deny http_access deny all cache_mgr 配置代理服务器管理者的电子邮件配置代理服务器管理者的电子邮件 visible_hostname 定义定义Squid在错误页面中显示的服在错误页面中显示的服务器名称务器名称 Page 11squidsquid的安装配置的安装配置v启动启动/关闭关闭squidrootmail squid#service squid 服务器使用方法服务器使用方法 start|stop|status|reload|restart|condrestart psps-ef|grepef|grep squid squid查看启动进程查看启动进程查看启动进程查看启动进程 root 9681 1 squid-Droot 9681 1 squid-D squid 9683 9681 squidsquid 9683 9681 squid squid 9685 9683 (squid 9685 9683 (unlinkdunlinkd)Page 12squidsquid的安装配置的安装配置vSquid使用使用#vi /etc/squid/squid.conf#And finally deny all other access to this proxyhttp_access deny all将“deny”修改为“allow”。Page 13内容进度内容进度内容进度内容进度vsquid的安装配置viptables的工作原理的工作原理viptables的安装配置Page 14iptablesiptables的工作原理的工作原理v传统防火墙包过滤技术传统防火墙包过滤技术从192.168.0.0网段到Internet的HTTP访问？放行放行/禁止通行！禁止通行！Page 15iptablesiptables的工作原理的工作原理v网络层防火墙网络层防火墙Page 16iptablesiptables的工作原理的工作原理vLinux防火墙防火墙ipfwadmnetfilteriptablesipchainsPage 17iptablesiptables基本原理基本原理基本原理基本原理viptables规则链规则链Page 18iptablesiptables基本原理基本原理基本原理基本原理viptables规则表规则表 Filter：INPUT、FORWARD、OUTPUT NAT：PREROUTING、POSTROUTING、OUTPUT Mangle：OUTPUT、POSTROUTING、INPUT、FORWARD、POSTROUTING。Page 19内容进度内容进度内容进度内容进度vsquid的安装配置viptables的工作原理viptables的安装配置的安装配置Page 20squidsquid的安装配置的安装配置vIptables防火墙防火墙iptables-1.2.7a-2.i386.rpm /etc/rc.d/init.d/iptables 防火墙启动、停止脚防火墙启动、停止脚本本/sbin/iptables 防火墙守护进程防火墙守护进程service iptables 防火墙的使用方法防火墙的使用方法start|stop|restart|condrestart|status|panic|savePage 21iptablesiptables安装配置安装配置安装配置安装配置v配置防火墙配置防火墙命令语法命令语法 iptables-t table-ADC chain rule-specification options iptables-t table-I chain rulenum rule-specification options iptables-t table-R chain rulenum rule-specification optionsiptables-t table-LFZ chain options iptables-t table-N chain格式格式iptables-t table command match-j target/jumpPage 22iptablesiptables安装配置安装配置安装配置安装配置v-t table指定规则表指定规则表 -t 有有filter nat mangle，缺省，缺省filter表表vcommand 指定常用操作指定常用操作-A,-append 新增规则新增规则-D,-delete 删除规则删除规则-R,-replace 取代规则取代规则 -I,-insert 插入规则插入规则-L,-list 列出规则列出规则-F,-flush 清空规则清空规则-P,-policy 设置链缺省规则设置链缺省规则Page 23iptablesiptables安装配置安装配置安装配置安装配置vmatch规则定义参数规则定义参数 -p,-protocol 指定协议指定协议 tcp udp icmp -s,-src,-source 指定源指定源ip地址地址-d,-dst,-destination 指定目标指定目标ip地址地址 -i,-in-interface 指定从哪个网卡入指定从哪个网卡入-o,-out-interface指定从哪个网卡出指定从哪个网卡出-sport,-source-port 指定源端口指定源端口-dport,-destination-port 指定目标端口指定目标端口-m mac-mac-source 指定源网络硬件地址指定源网络硬件地址 Page 24iptablesiptables安装配置安装配置安装配置安装配置v-j target/jump 常用的处理动作常用的处理动作ACCEPT：将封包放行将封包放行REJECT：拦阻该封包，并传送封包通知对方拦阻该封包，并传送封包通知对方 DROP：丢弃封包不予处理丢弃封包不予处理SNAT：改写封包来源改写封包来源 IP 为某特定为某特定 IP 或或 IP 范围范围 DNAT：改写封包目的地改写封包目的地 IP 为某特定为某特定 IP 或或 IP 范围范围 Page 25iptablesiptables安装配置安装配置安装配置安装配置vfilter配置配置阻止所有阻止所有ping的包文。的包文。#iptablesiptables-D INPUT-p -D INPUT-p icmpicmp-j REJECT-j REJECT#iptablesiptables-D INPUT-p -D INPUT-p icmpicmp-j DROP-j DROP 仅阻止你的主机访问你的虚拟机的仅阻止你的主机访问你的虚拟机的仅阻止你的主机访问你的虚拟机的仅阻止你的主机访问你的虚拟机的WWWWWW服务服务服务服务 iptablesiptables A INPUT s 192.168.5.60 -p A INPUT s 192.168.5.60 -p tcptcp -dportdport 80 -j DROP 80 -j DROPPage 26iptablesiptables安装配置安装配置安装配置安装配置vNAT配置配置目的目的NAT（DNAT）iptablesiptables t t natnat A PREROUTING d 192.168.1.1 -A PREROUTING d 192.168.1.1 -p p tcptcp -dportdport 80 -j DNAT -to 192.168.1.2:80 80 -j DNAT -to 192.168.1.2:80 源源源源NAT(SNAT)NAT(SNAT)iptablesiptables t t natnat A POSTROUTING s A POSTROUTING s 192.168.1.0/24 -j SNAT to 192.168.5.1192.168.1.0/24 -j SNAT to 192.168.5.1Page 27本章内容总结本章内容总结本章内容总结本章内容总结vsquid的安装。的安装。vsquid的常用配置项。的常用配置项。viptables的工作原理。的工作原理。viptables的常用包过滤规则配置。的常用包过滤规则配置。Page 28