【正文】 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 主編：楊云、馬立新 人民郵電出版社 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 項目描述： 某高校組建了校園網(wǎng)，并且已經(jīng)架設(shè)了 Web、 FTP、 DNS、 DHCP、 Mail等功能的服務(wù)器來為校園網(wǎng)用戶提供服務(wù)，現(xiàn)有如下問題需要解決。 （ 1）需要架設(shè)防火墻以實現(xiàn)校園網(wǎng)的安全。 （ 2）需要將子網(wǎng)連接在一起構(gòu)成整個校園網(wǎng)。 （ 3）由于校園網(wǎng)使用的是私有地址，需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，使校園網(wǎng)中的用戶能夠訪問互聯(lián)網(wǎng)。 該項目實際上是由 Linux的防火墻與代理服務(wù)器： iptables和 squid來完成的，通過該角色部署 iptables、 NAT、 squid，能夠?qū)崿F(xiàn)上述功能。 項目目標(biāo) ： ●了解防火墻的分類及工作原理 ●了解 NAT ● 掌握 iptables防火墻的配置 ●掌握利用 iptables實現(xiàn) NAT ● 掌握 squid代理服務(wù)器的配置 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 相關(guān)知識 項目實施 練習(xí)題 綜合案例分析 超級鏈接 項目九、配置與管理防火墻和代理服務(wù)器 項目設(shè)計與準(zhǔn)備 企業(yè)實戰(zhàn)與應(yīng)用 項目實錄 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 相關(guān)知識 防火墻概述 1．什么是防火墻 防火墻通常具備以下幾個特點(diǎn)。 （ 1）位置權(quán)威性。 （ 2）檢測合法性。 （ 3）性能穩(wěn)定性。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 防火墻概述 2．防火墻的種類 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables簡介 早期的 Linux系統(tǒng)采用過 ipfwadm作為防火墻，但在 被 ipchains所取代。 Linux ， filter/iptables信息包過濾系統(tǒng)正式使用。 Netfilter/iptables IP數(shù)據(jù)包過濾系統(tǒng)實際由 filter和 iptables兩個組件構(gòu)成。 Netfilter是集成在內(nèi)核中的一部分，它的作用是定義、保存相應(yīng)的規(guī)則。而 iptables是一種工具，用以修改信息的過濾規(guī)則及其他配置。用戶可以通過 iptables來設(shè)置適合當(dāng)前環(huán)境的規(guī)則，而這些規(guī)則會保存在內(nèi)核空間中。 對于 Linux服務(wù)器而言，采用 filter/iptables數(shù)據(jù)包過濾系統(tǒng)，能夠節(jié)約軟件成本，并可以提供強(qiáng)大的數(shù)據(jù)包過濾控制功能，iptables是理想的防火墻解決方案。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 filter是 Linux核心中的一個通用架構(gòu)，它提供了一系列的“表”（tables），每個表由若干“鏈”（ chains）組成，而每條鏈可以由一條或數(shù)條“規(guī)則”（ rules）組成。實際上， filter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。 1． iptables名詞解釋 （ 1）規(guī)則（ rules）。設(shè)置過濾數(shù)據(jù)包的具體條件，如 IP地址、端口、協(xié)議以及網(wǎng)絡(luò)接口等信息， iptables如表 條 件 說 明 Address 針對封包內(nèi)的地址信息進(jìn)行比對。可對來源地址（ Source Address）、目的地址（ Destination Address）與網(wǎng)絡(luò)卡地址（ MAC Address）進(jìn)行比對 Port 封包內(nèi)存放于 Transport層的 Port信息設(shè)定比對的條件，可用來比對的 Pott信息包含：來源 Port（ Source Port）、目的 Port（ Destination Port） Protocol 通信協(xié)議，指的是某一種特殊種類的通信協(xié)議。 Netfilter可以比對 TCP、 UDP或者 ICMP等協(xié)議 Interface 接口，指的是封包接收，或者輸出的網(wǎng)絡(luò)適配器名稱 Fragment 不同 Network Interface的網(wǎng)絡(luò)系統(tǒng)，會有不同的封包長度的限制。如封包跨越至不同的網(wǎng)絡(luò)系統(tǒng)時，可能會將封包進(jìn)行裁切（ Fragment）?？梢葬槍Σ们泻蟮姆獍畔⑦M(jìn)行監(jiān)控與過濾 Counter 可針對封包的計數(shù)單位進(jìn)行條件比對 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 （ 2）動作（ target）。當(dāng)數(shù)據(jù)包經(jīng)過 Linux時，若 filter檢測該包符合相應(yīng)規(guī)則，則會對該數(shù)據(jù)包進(jìn)行相應(yīng)的處理， iptables動作如表 iptables工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 （ 3）鏈（ chain）。數(shù)據(jù)包傳遞過程中，不同的情況下所要遵循的規(guī)則組合形成了鏈。規(guī)則鏈可以分為以下兩種。 ●內(nèi)置鏈（ Buildin Chains）。 ●用戶自定義鏈（ UserDefined Chains）。 filter常用的為內(nèi)置鏈，其一共有 5個鏈，如表 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 filter的 5條鏈相互地關(guān)聯(lián)，如圖 iptables數(shù)據(jù)包轉(zhuǎn)發(fā)流程圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 （ 4）表（ table）。接受數(shù)據(jù)包時， Netfilter會提供以下 3種數(shù)據(jù)包處理的功能。 ●過濾。 ●地址轉(zhuǎn)換。 ●變更。 Netfilter根據(jù)數(shù)據(jù)包的處理需要，將鏈（ chain）進(jìn)行組合，設(shè)計了 3個表（ table）： filter、 nat以及 mangle。 ① filter。這是 filter默認(rèn)的表，通常使用該表進(jìn)行過濾的設(shè)置，它包含以下內(nèi)置鏈。 ● INPUT：應(yīng)用于發(fā)往本機(jī)的數(shù)據(jù)包。 ● FORWARD：應(yīng)用于路由經(jīng)過本地的數(shù)據(jù)包。 ● OUTPUT：本地產(chǎn)生的數(shù)據(jù)包。 filter表過濾功能強(qiáng)大，幾乎能夠設(shè)定所有的動作（ target）。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 ② nat。當(dāng)數(shù)據(jù)包建立新的連接時，該 nat表能夠修改數(shù)據(jù)包，并完成網(wǎng)絡(luò)地址轉(zhuǎn)換。它包含以下 3個內(nèi)置鏈。 ● PREROUTING：修改到達(dá)的數(shù)據(jù)包。 ● OUTPUT：路由之前，修改本地產(chǎn)生數(shù)據(jù)包。 ● POSTROUTING：數(shù)據(jù)包發(fā)送前，修改該包。 nat表僅用于網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是轉(zhuǎn)換包的源或目標(biāo)地址，其具體的動作有 DNAT、 SNAT以及 MASQUERADE，下面的內(nèi)容將會詳細(xì)介紹。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 ③ mangle。該表用在數(shù)據(jù)包的特殊變更操作，如修改 TOS等特性。Linux ，它包含兩個內(nèi)置鏈： PREROUTING和OUTPUT，內(nèi)核 ， mangle表對其他 3個鏈提供了支持。 ● PREROUTING：路由之前，修改接受的數(shù)據(jù)包。 ● INPUT：應(yīng)用于發(fā)送給本機(jī)的數(shù)據(jù)包。 ● FORWARD：修改經(jīng)過本機(jī)路由的數(shù)據(jù)包。 ● OUTPUT：路由之前，修改本地產(chǎn)生的數(shù)據(jù)包。 ● POSTROUTING：數(shù)據(jù)包發(fā)送出去之前，修改該包。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2． iptables工作流程 iptables工作原理 iptables擁有 3個表和 5個鏈，其整個工作流程如圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識 網(wǎng)絡(luò)地址轉(zhuǎn)換器 NAT（ Network Address Translator）位于使用專用地址的Intra和使用公用地址的 Inter之間，主要具有以下幾種功能。 （ 1）從 Intra傳出的數(shù)據(jù)包由 NAT將它們的專用地址轉(zhuǎn)換為公用地址。 （ 2）從 Inter傳入的數(shù)據(jù)包由 NAT將它們的公用地址轉(zhuǎn)換為專用地址。 （ 3）支持多重服務(wù)器和負(fù)載均衡。 （ 4）實現(xiàn)透明代理。 這樣在內(nèi)網(wǎng)中計算機(jī)使用未注冊的專用 IP地址，而在與外部網(wǎng)絡(luò)通信時使用注冊的公用 IP地址，大大降低了連接成本。同時 NAT也起到將內(nèi)部網(wǎng)絡(luò)隱藏起來，保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，因為對外部用戶來說只有使用公用 IP地址的 NAT是可見的，類似于防火墻的安全措施。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識 1． NAT的工作過程 （ 1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行 NAT的計算機(jī)。 （ 2） NAT將數(shù)據(jù)包中的端口號和專用的 IP地址換成它自己的端口號和公用的 IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī)，同時記錄一個跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息。 （ 3）外部網(wǎng)絡(luò)發(fā)送回答信息給 NAT。 （ 4） NAT將所收到的數(shù)據(jù)包的端口號和公用 IP地址轉(zhuǎn)換為客戶機(jī)的端口號和內(nèi)部網(wǎng)絡(luò)使用的專用 IP地址并轉(zhuǎn)發(fā)給客戶機(jī)。 以上步驟對于網(wǎng)絡(luò)內(nèi)部的主機(jī)和網(wǎng)絡(luò)外部的主機(jī)都是透明的，對他們來講就如同直接通信一樣。如圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2． NAT的分類 （ 1）源 NAT（ Source NAT， SNAT）。 SNAT指修改第一個包