- 1、本文档共30页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙和NAT
防火墙与NAT的配置与管理 结束 防火墙概述 包过滤防火墙原理 Iptables配置防火墙 NAT概述 NAT的实现 Linux下的包过滤防火墙管理工具 从1.1内核开始,Linux就已经具有包过滤功能了,随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段: 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。 在2.2的内核中,采用ipchains来控制内核包过滤规则。 在2.4的内核中,采用一个全新的内核包过滤管理工具——iptables。 现在必威体育精装版Linux内核版本是2.4.1,在2.4内核中不再使用ipchains,而是采用一个全新的内核包过滤管理工具--iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理,更容易被使用,当然也将具有更为强大的功能。 iptables作为一个管理内核包过滤的工具,iptables 可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是Netfilter(Linux 核心中一个通用架构)及其相关模块(如iptables模块和nat模块等)。 包过滤原理 路由选择 FORWARD链 INPUT链 OUTPUT链 本地处理进程 入站包 出站包 包过滤原理 1)如果数据包的目的地址是本机,则系统将数据包送往INPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢弃; (2)如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往FORWARD链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉; (3)如果数据包是由本地系统进程产生的,则系统将其送往OUTPUT链,如果通过规则检查,则该包被发给相应的本地进程处理;如果没通过规则检查,系统就会将这个包丢掉。 包的处理方式 Iptables –A INPUT –p icmp –j DROP 处理方式:drop丢弃、accept 接受、 reject弹回 Iptables –L –n 查看 如:允许ssh iptables -A INPUT - p tcp -d --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp -s --sport 22 -j ACCEPT Iptables管理防火墙 Iptables –help |more 查看帮助 改变默认策略 iptables –P INPUT|FORWARD|OUTPUT DROP 保存:系统启动时会加载此文件种的配置 service Iptables save或iptables-save/etc/sysconfig/iptables 开启转发功能: echo 1 /proc/sys/net/ipv4/ip_forward 若要永久生效:vi/etc/sysctl.conf 更改net.ipv4.ip_forward=1 19.1 NAT概述 返回 19.1.1 NAT的工作原理 19.1.2 NAT的分类 结束 19.1.1 NAT的工作原理 NAT是将一个地址段映射到另一个地址段的标准方法。NAT根据RFC 1631开发的IETF标准,允许一个IP地址段以一个公有IP地址出现在Internet上。NAT可以将内部网络中的所有节点的地址转换成一个IP地址,反之亦然。 返回 19.1.2 NAT的分类 NAT按照所采用的地址转换技术可以分为三类,即静态NAT,动态NAT和端口NAT。静态NAT的设置最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。这一系列外部网络的合法地址放在地址池中,因此动态NAT也常被称为NAT池。端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,各种NAT方案有利有弊,本书在19.3节具体介绍这三种不同的地址转换方式。 返回 19.2 NAT的地址概念 返回 19.2.1 内部本地地址 19.2.2 内部全局地址 结束 19.2.3 外部本地地址 19.2.4 外部全局地址 19.2.1 内部本地地址 内部本地地址(Inside Local IP Address)是指在内部网上分配到一个主机的IP地址。这个地址一般不是由网络信息中心NIC或服务提供商所分配的合法IP地址,而是私有地址。 返回 19.2.2 内部全局地址 内部全局地址(Inside Global IP Address)是指合法的IP地址(由网络信息中
文档评论(0)