【正文】 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 主編：楊云、馬立新 人民郵電出版社 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 項目描述： 某高校組建了校園網(wǎng)，并且已經(jīng)架設(shè)了 Web、 FTP、 DNS、 DHCP、 Mail等功能的服務(wù)器來為校園網(wǎng)用戶提供服務(wù)，現(xiàn)有如下問題需要解決。 （ 1）需要架設(shè)防火墻以實現(xiàn)校園網(wǎng)的安全。 （ 2）需要將子網(wǎng)連接在一起構(gòu)成整個校園網(wǎng)。 （ 3）由于校園網(wǎng)使用的是私有地址，需要進行網(wǎng)絡(luò)地址轉(zhuǎn)換，使校園網(wǎng)中的用戶能夠訪問互聯(lián)網(wǎng)。 該項目實際上是由 Linux的防火墻與代理服務(wù)器： iptables和 squid來完成的，通過該角色部署 iptables、 NAT、 squid，能夠?qū)崿F(xiàn)上述功能。 項目目標(biāo) ： ●了解防火墻的分類及工作原理 ●了解 NAT ● 掌握 iptables防火墻的配置 ●掌握利用 iptables實現(xiàn) NAT 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 相關(guān)知識 項目實施 練習(xí)題 超級鏈接 項目 9 配置與管理防火墻 項目設(shè)計與準(zhǔn)備 企業(yè)實戰(zhàn)與應(yīng)用 項目實錄 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 相關(guān)知識 防火墻概述 1．什么是防火墻 防火墻通常具備以下幾個特點。 （ 1）位置權(quán)威性。 （ 2）檢測合法性。 （ 3）性能穩(wěn)定性。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 防火墻概述 2．防火墻的種類 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables簡介 早期的 Linux系統(tǒng)采用過 ipfwadm作為防火墻，但在 被 ipchains所取代。 Linux ， filter/iptables信息包過濾系統(tǒng)正式使用。 Netfilter/iptables IP數(shù)據(jù)包過濾系統(tǒng)實際由 filter和 iptables兩個組件構(gòu)成。 Netfilter是集成在內(nèi)核中的一部分，它的作用是定義、保存相應(yīng)的規(guī)則。而 iptables是一種工具，用以修改信息的過濾規(guī)則及其他配置。用戶可以通過 iptables來設(shè)置適合當(dāng)前環(huán)境的規(guī)則，而這些規(guī)則會保存在內(nèi)核空間中。 對于 Linux服務(wù)器而言，采用 filter/iptables數(shù)據(jù)包過濾系統(tǒng)，能夠節(jié)約軟件成本，并可以提供強大的數(shù)據(jù)包過濾控制功能，iptables是理想的防火墻解決方案。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 filter是 Linux核心中的一個通用架構(gòu)，它提供了一系列的“表”（tables），每個表由若干“鏈”（ chains）組成，而每條鏈可以由一條或數(shù)條“規(guī)則”（ rules）組成。實際上， filter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。 1． iptables名詞解釋 （ 1）規(guī)則（ rules）。設(shè)置過濾數(shù)據(jù)包的具體條件，如 IP地址、端口、協(xié)議以及網(wǎng)絡(luò)接口等信息， iptables如表 條 件 說 明 Address 針對封包內(nèi)的地址信息進行比對?？蓪碓吹刂罚?Source Address）、目的地址（ Destination Address）與網(wǎng)絡(luò)卡地址（ MAC Address）進行比對 Port 封包內(nèi)存放于 Transport層的 Port信息設(shè)定比對的條件，可用來比對的 Pott信息包含：來源 Port（ Source Port）、目的 Port（ Destination Port） Protocol 通信協(xié)議，指的是某一種特殊種類的通信協(xié)議。 Netfilter可以比對 TCP、 UDP或者 ICMP等協(xié)議 Interface 接口，指的是封包接收，或者輸出的網(wǎng)絡(luò)適配器名稱 Fragment 不同 Network Interface的網(wǎng)絡(luò)系統(tǒng)，會有不同的封包長度的限制。如封包跨越至不同的網(wǎng)絡(luò)系統(tǒng)時，可能會將封包進行裁切（ Fragment）。可以針對裁切后的封包信息進行監(jiān)控與過濾 Counter 可針對封包的計數(shù)單位進行條件比對 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 （ 2）動作（ target）。當(dāng)數(shù)據(jù)包經(jīng)過 Linux時，若 filter檢測該包符合相應(yīng)規(guī)則，則會對該數(shù)據(jù)包進行相應(yīng)的處理， iptables動作如表 iptables工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 （ 3）鏈（ chain）。數(shù)據(jù)包傳遞過程中，不同的情況下所要遵循的規(guī)則組合形成了鏈。規(guī)則鏈可以分為以下兩種。 ●內(nèi)置鏈（ Buildin Chains）。 ●用戶自定義鏈（ UserDefined Chains）。 filter常用的為內(nèi)置鏈，其一共有 5個鏈，如表 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 filter的 5條鏈相互地關(guān)聯(lián)，如圖 iptables數(shù)據(jù)包轉(zhuǎn)發(fā)流程圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 （ 4）表（ table）。接受數(shù)據(jù)包時， Netfilter會提供以下 3種數(shù)據(jù)包處理的功能。 ●過濾。 ●地址轉(zhuǎn)換。 ●變更。 Netfilter根據(jù)數(shù)據(jù)包的處理需要，將鏈（ chain）進行組合，設(shè)計了 3個表（ table）： filter、 nat以及 mangle。 ① filter。這是 filter默認(rèn)的表，通常使用該表進行過濾的設(shè)置，它包含以下內(nèi)置鏈。 ● INPUT：應(yīng)用于發(fā)往本機的數(shù)據(jù)包。 ● FORWARD：應(yīng)用于路由經(jīng)過本地的數(shù)據(jù)包。 ● OUTPUT：本地產(chǎn)生的數(shù)據(jù)包。 filter表過濾功能強大，幾乎能夠設(shè)定所有的動作（ target）。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 ② nat。當(dāng)數(shù)據(jù)包建立新的連接時，該 nat表能夠修改數(shù)據(jù)包，并完成網(wǎng)絡(luò)地址轉(zhuǎn)換。它包含以下 3個內(nèi)置鏈。 ● PREROUTING：修改到達的數(shù)據(jù)包。 ● OUTPUT：路由之前，修改本地產(chǎn)生數(shù)據(jù)包。 ● POSTROUTING：數(shù)據(jù)包發(fā)送前，修改該包。 nat表僅用于網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是轉(zhuǎn)換包的源或目標(biāo)地址，其具體的動作有 DNAT、 SNAT以及 MASQUERADE，下面的內(nèi)容將會詳細(xì)介紹。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 ③ mangle。該表用在數(shù)據(jù)包的特殊變更操作，如修改 TOS等特性。Linux ，它包含兩個內(nèi)置鏈： PREROUTING和OUTPUT，內(nèi)核 ， mangle表對其他 3個鏈提供了支持。 ● PREROUTING：路由之前，修改接受的數(shù)據(jù)包。 ● INPUT：應(yīng)用于發(fā)送給本機的數(shù)