【正文】 001921F183C7 j DROP 禁止轉(zhuǎn)發(fā)來自 MAC地址為 001921F183C7的主機(jī)的數(shù)據(jù)包。 任務(wù) 143 iptables命令的基本使用 第 31 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 7．規(guī)則的保存與恢復(fù) ? 使用 iptables命令手工進(jìn)行的設(shè)置在系統(tǒng)中是即時生效的，但如果不進(jìn)行保存將在系統(tǒng)下次啟動時丟失。 iptables每次啟動或重啟時都使用 /etc/sysconfig/iptables文件中所提供的規(guī)則進(jìn)行規(guī)則恢復(fù)。 service iptables save命令等效于 iptablessave /etc/sysconfig/iptables命令；使用 iptablessave命令可以將多個版本的配置保存到不同的文件中。 任務(wù) 143 iptables命令的基本使用 第 33 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 ②恢復(fù)防火墻規(guī)則 ?命令： iptablesrestore 路徑 /文件名 功能： 將使用 iptablessave保存的規(guī)則文件中的規(guī)則恢復(fù)到當(dāng)前系統(tǒng)中。 iptablessave /etc/sysconfig/iptables service iptables restart 任務(wù) 143 iptables命令的基本使用 第 34 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 ? 禁止某機(jī) （物理機(jī)） Ping防火墻所在主機(jī) （虛擬機(jī)） service iptables start 啟動防火墻 iptables F 清空所有規(guī)則 iptables A INPUT p icmp s j DROP ?禁止除某機(jī)以外的其他主機(jī) Ping防火墻所在的主機(jī) iptables D INPUT 1 iptables A INPUT p icmp s ! j DROP ?禁止本網(wǎng)段以外的主機(jī) ping本機(jī) iptables D INPUT 1 iptables A INPUT s ! ?禁止所有人 Ping本機(jī) iptables D INPUT 1 iptables A INPUT p icmp j DROP 實例 1——管理 icmp 任務(wù) 143 iptables命令的基本使用 第 35 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 實例 2——設(shè)置遠(yuǎn)程登錄限制 ?初始化： iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP iptables –F iptables –X ?僅允許某機(jī) ssh連接防火墻 iptables A INPUT s p tcp dport 22 j ACCEPT iptables A OUTPUT d p tcp sport 22 j DROP 任務(wù) 143 iptables命令的基本使用 第 36 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 實例 3 ?作為專門 WEB服務(wù)器終端的配置 ， 清除任何以前配置的規(guī)則 ?iptables F //清除 filter規(guī)則表中的所有規(guī)則 ?iptables X //清除 filter規(guī)則表中的自定義規(guī)則鏈 ?iptables Z //將指定表中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零 ?iptables A INPUT p tcp d +60 dport 22 j ACCEPT ?iptables A OUTPUT p tcp s +60 sport 22 j ACCEPT 任務(wù) 143 iptables命令的基本使用 第 37 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 3. 把所有默認(rèn)策略設(shè)置為 DROP ?iptables P INPUT DROP iptables P OUTPUT DROP iptables P FORWARD DROP 4. 讓本機(jī)的回環(huán)設(shè)備可以使用 ?iptables I INPUT 1 i lo p all j ACCEPT ?iptables I OUTPUT 1 o lo j ACCEPT 沒有上述兩條規(guī)則時，系統(tǒng)啟動會卡住 80端口訪問 WEB服務(wù)器 ?iptables A INPUT p tcp sport 80 j ACCEPT ? iptables A OUTPUT p tcp dport 80 j ACCEPT 6. 使防火墻能夠解析進(jìn)出來的包 ?iptables A INPUT p udp sport 53 j ACCEPT ?iptables A OUTPUT p udp dport 53 j ACCEPT ?service iptables save 任務(wù) 143 iptables命令的基本使用 第 38 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 ?請在啟動 linux系統(tǒng)之前添加第二塊網(wǎng)卡 第 1步 ：啟動虛擬機(jī)軟件 第 2步 ：添加第二塊網(wǎng)卡 在虛擬機(jī)軟件菜單上點(diǎn)擊“虛擬機(jī)” → “設(shè)置” →點(diǎn)擊”添加” → 點(diǎn)擊“網(wǎng)絡(luò)適配器” → 點(diǎn)擊“下一步” → 選擇“網(wǎng)橋” → 點(diǎn)擊“完成” → ”確定” 第 3步 ：啟動 RHEL5 第 4步 ：配置 IP地址 第一塊網(wǎng)卡 eth0： +60 第二塊網(wǎng)卡 eth1： . 其中： X——為物理機(jī)網(wǎng)卡 IP地址的第 4段 任務(wù) 143 iptables命令的基本使用 第 39 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 公網(wǎng)地址與私網(wǎng)地址 ?IP地址的分配與管理由 ICANN管理機(jī)構(gòu)負(fù)責(zé)，公網(wǎng)地址必須經(jīng)申請后才能合法使用。 ?可使用的私網(wǎng)地址有： 一個 A類地址： 16個 B類地址： ~256個 C類地址： 。 ?NAT（ Network AddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種用另一個地址來替換 IP數(shù)據(jù)包頭部中的源地址或目的地址的技術(shù)。 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 41 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 ?目前幾乎所有防火墻的軟硬件產(chǎn)品都集成了 NAT功能， iptables也不例外。 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 42 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 SNAT策略的原理 ?未使用 SNAT策略時的情況 源地址： 目標(biāo)地址： HTTP請求 HTTP請求 HTTP應(yīng)答 源地址： 目標(biāo)地址： 源地址： 目標(biāo)地址： eth0: Inter中的 Web服務(wù)器 無法正確路由 路 由 轉(zhuǎn) 發(fā) 局 域網(wǎng)客戶端 eth1: Linux網(wǎng)關(guān)服務(wù)器 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 43 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 SNAT策略的原理 ?在網(wǎng)關(guān)中使用 SNAT策略以后 源地址： 目標(biāo)地址： HTTP請求 HTTP應(yīng)答 源地址： 目標(biāo)地址： 源地址： 目標(biāo)地址： Linux網(wǎng)關(guān)服務(wù)器 Inter中的 Web服務(wù)器 SNAT 轉(zhuǎn)換 局域網(wǎng)客戶端 源地址： 目標(biāo)地址： HTTP請求 eth1: eth0: 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 44 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 ?局域網(wǎng)用戶的訪問請求報文中的源地址是私網(wǎng)地址，報文在進(jìn)入因特網(wǎng)后，將被因特網(wǎng)中的路由器丟棄。 ?這種對報文中的源地址或目的地址進(jìn)行替換修改的操作，就稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。其開啟方法為： 方法 1： 編輯 /etc/ 將“ =0”配置項 修改為： =1 sysctl p /etc/ 方法 2：執(zhí)行命令： echo 1 /proc/sys//ipv4/ip_forward sysctl p /etc/ 使 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 47 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 步驟 2： 添加使用 SNAT策略的防火墻規(guī)則 ?當(dāng) NAT服務(wù)器的外網(wǎng)接口配置的是固定的公網(wǎng) IP地址 iptables t nat A POSTROUTING s o eth0 j SNAT tosource +X ?當(dāng) NAT服務(wù)器通過 ADSL撥號方式連接 Inter，即外網(wǎng)接口獲取的是動態(tài)公網(wǎng) IP地址： iptables t nat A POSTROUTING s . o ppp0 j MASQUERADE 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 48 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 DNAT策略的原理 ?在網(wǎng)關(guān)中使用 DNAT策略發(fā)布內(nèi)網(wǎng)服務(wù)器 源地址： 目標(biāo)地址： HTTP請求 Inter中的 客戶機(jī) Linux網(wǎng)關(guān)服務(wù)器 局域網(wǎng)內(nèi)的 Web服務(wù)器 HTTP應(yīng)答 源地址： 目標(biāo)地址： DNAT 轉(zhuǎn)換 HTTP請求 HTTP應(yīng)答 源地址： 目標(biāo)地址： 源地址： 目標(biāo)地址： eth0： eth0： 任務(wù) 144 使用 iptables實現(xiàn) NAT服務(wù) 第 49 頁 Linux系統(tǒng)管理與網(wǎng)絡(luò)服務(wù) 2023年 2月 9日星期四 DNAT實現(xiàn)向公網(wǎng)發(fā)布私網(wǎng)的應(yīng)用服務(wù)器 ?步驟 1： 確認(rèn)已開啟網(wǎng)關(guān)的路由轉(zhuǎn)發(fā)功能（方法同上） ?步驟 2： 添加使用 DNAT策略的防火墻規(guī)則。 任務(wù) 144