【正文】 搭建、配置與管理 —— Linux版 任務(wù) 8 安裝、啟動與停止 Squid服務(wù) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 8 安裝、啟動與停止 Squid服務(wù) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 8 安裝、啟動與停止 Squid服務(wù) 2．啟動、停止 Squid服務(wù) 啟動和重新啟動 Squid服務(wù)的命令和界面如下所示。 Squid由一個主要的服務(wù)程序 Squid，一個 DNS查詢程序dnsserver，幾個重寫請求和執(zhí)行認(rèn)證的程序，以及幾個管理工具組成。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 7 實現(xiàn) NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換） 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 7 實現(xiàn) NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換） 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 8 安裝、啟動與停止 Squid服務(wù) 對于 Web用戶來說， Squid是一個高性能的代理緩存服務(wù)器，可以加快內(nèi)部網(wǎng)瀏覽 Inter的速度，提高客戶機(jī)的訪問命中率。 連接跟蹤依靠數(shù)據(jù)包中的特殊標(biāo)記，對連接狀態(tài)“ state”進(jìn)行檢測， Netfilter能夠根據(jù)狀態(tài)決定數(shù)據(jù)包的關(guān)聯(lián)，或者分析每個進(jìn)程對應(yīng)數(shù)據(jù)包的關(guān)系，決定數(shù)據(jù)包的具體操作。所以，配置 iptables時需要配置出站、入站規(guī)則，這無疑增大了配置的復(fù)雜度。 [rootserver ～ ] iptables t nat A PREROUTING d p tcp dport 80 j DNAT –todestination 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 7 實現(xiàn) NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換） 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 7 實現(xiàn) NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換） 5．連接跟蹤 （ 1）什么是連接跟蹤。 如果內(nèi)部網(wǎng)絡(luò)存在多臺相同類型應(yīng)用的服務(wù)器，可以使用 DNAT，將外部的訪問流量分配到多臺 Server上，實現(xiàn)負(fù)載均衡，減輕服務(wù)器的負(fù)擔(dān)。 （ 1）發(fā)布內(nèi)網(wǎng)服務(wù)器。 SNAT使用選項tosource，命令語法如下。若網(wǎng)絡(luò)內(nèi)部主機(jī)采用共享方式，訪問 Inter連接時就需要用到 SNAT的功能，將本地的 IP地址替換為公網(wǎng)的合法 IP地址。當(dāng)然這5個選項并不是都需要寫出來，不過，我們還是先來看看它們分別是什么意思。 獲取 使用的服務(wù)器地址和端口號很容易，進(jìn)入 安裝目錄，在任意以號碼命名的目錄中找到 ，并用記事本或其他編輯器打開，即可看到 使用的服務(wù)器地址和端口號，如圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 5 從常用實例中掌握配置 iptables技巧 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 6 使用日志監(jiān)控 iptables 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 6 使用日志監(jiān)控 iptables 可以先將 LOG功能的使用方式理解成以下這樣。所以很多的網(wǎng)絡(luò)管理者在部署企業(yè)內(nèi)部網(wǎng)絡(luò)的時候都紛紛禁止使用 軟件，早期的 都采用 UDP協(xié)議進(jìn)行傳輸數(shù)據(jù)，而且所使用的端口通常是從 4 000開始，目前新版本的 既可以使用TCP協(xié)議，也可以使用 UDP協(xié)議，而且端口號也有所改變，這使得封鎖 軟件的難度加大。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 5 從常用實例中掌握配置 iptables技巧 2．禁止用戶使用 軟件 員工上網(wǎng)聊天似乎已經(jīng)成為一種司空見慣的事情，大多數(shù)人對此習(xí)以為常。 [rootiptables /] iptablessave /etc/iptablessave [rootiptables /] service iptables save 將當(dāng)前規(guī)則保存在 /etc/sysconfig/iptables。 [rootserver ～ ] iptablesrestore /etc/iptablessave 所有的添加、刪除、修改規(guī)則都是臨時生效。默認(rèn)情況是清除所有已存在的規(guī)則。 iptablesrestore [c] [n] c：如果加上 c參數(shù)，表示要求裝入包和字節(jié)計數(shù)器。 [rootserver ～ ] iptables–save /etc/iptablessave iptablesrestore用來裝載由 iptablessave保存的規(guī)則集。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 當(dāng)使用 iptablessave命令后可以在屏幕上看到輸出結(jié)果，其中 *表示的是表的名字，它下面跟的是該表中的規(guī)則集。這可以使在重啟防火墻后不丟失對包和字節(jié)的統(tǒng)計。 iptablessave用來保存規(guī)則，它的用法比較簡單，命令格式如下。 [rootserver ～ ] iptables F INPUT 查看規(guī)則列表 [root server ～ ] iptables L INPUT Chain INPUT（ policy ACCEPT） target prot opt source destination 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 3．保存規(guī)則與恢復(fù) iptables提供了兩個很有用的工具來保存和恢復(fù)規(guī)則，這在規(guī)則集較為龐大的時候非常實用。 使用 1inen參數(shù)來查看規(guī)則代碼。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 【 例 99】 刪除 filter表中 INPUT鏈的第 2條規(guī)則。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 【 例 97】 在 filter表中 INPUT鏈的第 2條規(guī)則前插入一條新規(guī)則，規(guī)則為不允許訪問 TCP協(xié)議的 53端口的數(shù)據(jù)包通過。 任務(wù) 4 配置 iptables規(guī)則 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2．添加、刪除、修改規(guī)則 【 例 95】 為 filter表的 INPUT鏈添加一條規(guī)則，規(guī)則為拒絕所有使用ICMP協(xié)議的數(shù)據(jù)包。 [rootserver ～ ] iptables P INPUT j DROP 【 例 92】 將 nat表中 OUTPUT鏈的默認(rèn)策略定義為 ACCEPT（接受數(shù)據(jù)包）。 定義默認(rèn)策略的命令格式如下。 介紹常用的動作 /目標(biāo)如表 任務(wù) 2 認(rèn)識 iptables的基本語法 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 3 設(shè)置默認(rèn)策略 在 iptables中，所有的內(nèi)置鏈都會有一個默認(rèn)策略。例如： iptables A INPUT s j DROP 注意：在地址前加英文感嘆號表示取反，注意空格，如： s !。例如： iptables I INPUT dport 80 j ACCEPT （ 4） s或 src或 source。 作用：基于 TCP包的目的端口來匹配包，也就是說通過檢測數(shù)據(jù)包的目的端口是不是指定的來判斷數(shù)據(jù)包的去留。更多介紹請參考相關(guān)文獻(xiàn)。在 TCP/IP的網(wǎng)絡(luò)環(huán)境里，大多數(shù)的數(shù)據(jù)包所使用的協(xié)議不是 TCP類型的就是 UDP類型的，還有一種是 ICMP類型的數(shù)據(jù)包，例如ping命令所使用的就是 ICMP協(xié)議。換句話說就是在過濾數(shù)據(jù)包的時候， iptables根據(jù)什么來判斷到底是允許數(shù)據(jù)包通過，還是不允許數(shù)據(jù)包通過，過濾的角度通?？梢允窃吹刂贰⒛康牡刂?、端口號或狀態(tài)等信息。 iptables t nat 命令 匹配 j 動作 /目標(biāo) t參數(shù)是可以省略的，如果省略了 t參數(shù)，則表示對 filter表進(jìn)行操作。 iptables [t 表名 ] 命令 匹配 j 動作 /目標(biāo) 1．表選項 iptables內(nèi)置了 filter、 nat和 mangle 3張表，使用 t參數(shù)來設(shè)置對哪張表生效。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 2 認(rèn)識 iptables的基本語法 如果想靈活運(yùn)用 iptables來加固系統(tǒng)安全的話，就必須熟練地掌握 iptables的語法格式。 （ 2） ntsysv。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 項目實施 任務(wù) 1 安裝 iptables 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 1 安裝 iptables 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 1 安裝 iptables 5．自動加載 iptables服務(wù) （ 1） chkconfig。服務(wù)器和客戶端能夠通過網(wǎng)絡(luò)進(jìn)行通信。 （ 1）安裝好的企業(yè)版 Linux網(wǎng)絡(luò)操作系統(tǒng)，并且必須保證常用服務(wù)正常工作。 本項目設(shè)計在安裝有企業(yè)版 Linux網(wǎng)絡(luò)操作系統(tǒng)的服務(wù)器上安裝 iptabels。而防火墻可以使企業(yè)內(nèi)部局域網(wǎng)與 Inter之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。 （ 3）安全性得到提高。 NAT的基本知識 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 1．代理服務(wù)器的工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 2．代理服務(wù)器的作用 （ 1）提高訪問速度。 DNAT總是在包進(jìn)入后立刻進(jìn)行 PreRouting動作。 （ 2）目的 NAT（ Desti