Linux安全–chap03–v1.0.ppt

课程回顾 iptables与netfilter的作用及区别是什么？ iptables命令的语法格式包括哪些组成部分？ 若设置iptables规则时未指定表名，默认使用哪个表？ 设置显式匹配条件时，需要注意什么？ 防火墙对数据包的常见处理方式包括哪些？ 技能展示 会使用SNAT策略配置共享上网 会使用DNAT策略发布企业内网的应用服务 会为Linux防火墙增加应用层过滤功能 本章结构 SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换，Source Network Address Translation 修改数据包的源IP地址 SNAT策略的应用环境 SNAT策略的原理 未使用SNAT策略时的情况 SNAT策略的原理 在网关中使用SNAT策略以后 SNAT策略的应用 SNAT的应用案例 SNAT策略的应用 前提条件 局域网各主机正确设置IP地址/子网掩码 局域网各主机正确设置默认网关地址 推荐实现步骤 1. 开启网关主机的路由转发功能 2. 添加使用SNAT策略的防火墙规则 规则示例： iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT --to-source 1 SNAT策略的应用 验证SNAT结果 在局域网主机中（00）应能够访问外网的Web服务器（9） 命令行执行 “elinks 9” 进行访问 查看外网测试主机（9）的Web访问日志，记录的应为网关主机的公网IP地址(1) 网关使用动态公网IP地址的情况 MASQUERADE（地址伪装）策略 只需将 “-j SNAT --to-source 1”的形式改为“-j MASQUERADE”即可 如果是通过ADSL拨号方式连接Internet，则外网接口名称通常为 ppp0、ppp1等 MASQUERADE策略应用示例 DNAT策略概述 DNAT策略的典型应用环境 在Internet中发布位于企业局域网内的服务器 DNAT策略的原理 目标地址转换，Destination Network Address Translation 修改数据包的目标IP地址 DNAT策略的应用环境 DNAT策略的原理 在网关中使用DNAT策略发布内网服务器 DNAT策略的应用 DNAT的应用案例 DNAT策略的应用 前提条件 局域网的Web服务器正确设置了IP地址/子网掩码 局域网的Web服务器正确设置了默认网关地址 推荐实现步骤 1. 确认已开启网关的路由转发功能 2. 添加使用DNAT策略的防火墙规则 规则示例： iptables -t nat -A PREROUTING -i eth0 -d 1 -p tcp --dport 80 -j DNAT --to-destination DNAT策略的应用 验证DNAT结果 在外网测试机（9）中，应能够通过浏览器访问网关公网IP地址（1）的80端口 命令行执行 “elinks 1”进行访问 —— 实际网页内容由主机 提供 查看局域网内Web服务器（）的Web访问日志，应记录了外网测试机的IP地址(9) 通过DNAT策略同时修改目标端口号 使用形式 只需要在“--to-destination”后的目标IP地址后面增加“:端口号”即可，即： -j DNAT --to-destination 目标IP:目标端口 通过DNAT策略修改目标端口号的应用示例 从Internet中访问网关主机（1）的 2222 端口时，实际由运行在局域网主机（）的 22 端口的应用程序提供服务 小结 请思考： SNAT策略的核心用途是什么？ DNAT策略的核心用途是什么？ SNAT、DNAT策略在企业中包括哪些典型应用？ 如果企业的网关主机通过ADSL动态地址接入Internet网络，应如何设置共享上网策略？ 使用layer7应用层过滤功能 默认 netfilter/iptables 体系的不足 以基于网络层的数据包过滤机制为主，同时提供少量的传输层、数据链路层的过滤功能 难以判断数据包对应于何种应用程序（如QQ、MSN） netfilter-layer7 补丁包的作用 由“L7-filter”项目提供 源码站点位于 通过为Linux内核、iptables添加相应的补丁文件，重新编译安装后提供基于应用层（第7层）的扩展功能 通过独立的 l7-protocols 协议包提供对各种应用层数据的特征识别定义，便于更新 使用layer7应用层过滤功能 整体实现过程 添加内核补丁，重新编译内核，并以新内核引导系统 添加iptables补丁，重新编译安装iptables 安装l7-protocols协议定义包