LINUX网络服务管理代理服务器与防火墙

1、第6章内容回想SMTP、POP3和IMAP是邮件系统中运用的网络协议，可实现邮件的发送和收取 Sendmail是RHEL4系统中缺省安装运用的邮件效力器 dovecot效力器可提供pop3和imap4效力经过OpenWebmail提供的界面用户可以运用阅读器管理邮箱和收发邮件运用Sendmail、dovecot和OpenWebmail可以构建完好的邮件运用系统 .代理效力器与防火墙第7章.本章目的了解防火墙和代理效力器的根本概念掌握Linux系统中的防火墙管理掌握squid代理效力器管理 麦新衣时髦女装商城httpmaixine/淘宝网首页女装.本章构造代理效力器与防火墙根本概念iptable

2、s运用层代理网络层防火墙iptables根本原理iptables的根本配置管理 防火墙配置实例squid效力器的根本功能squid效力器的配置管理 缓存代理squid网页阅读器的代理设置.运用层代理 运用层代理的根本概念运用层代理针对特定的网络协议提供代理效力HTTP代理和FTP代理是运用层代理的典型运用运用代理效力器可以处理的问题局域网中的一切主机都可以经过同局域网中具有互联网访问才干的代理效力器主机进展外部网络的访问代理效力器对曾经访问过的内容提供缓存，可有效的减少对外部网络的访问流量，并可以提高频繁访问的页面的访问效率经过代理效力器可以进展一定程度的访问控制，可以对客户端和被访问页面进展

3、控制.代理效力的运用原理代理效力器任务在TCP/IP的运用层链路层网络层传输层运用代理上层程序链路层网络层传输层运用层客户程序链路层网络层传输层运用层效力程序受维护客户端代理效力器外部网络.网络层防火墙 网络防火墙软件的主要功能 对进入和流出的IP数据包进展过滤，屏蔽不符合要求的数据包，保证内部网络的平安提供数据包的路由选择，实现网络地址转换NAT，从而处理局域网中主机运用内部IP地址也可以顺利访问外部网络的运用需求防火墙的类型硬件防火墙是功能专注的硬件设备，价钱昂贵软件防火墙的功能是由计算机中的软件实现的，具有相当大的价钱优势 .网络层防火墙的运用原理网络防火墙任务在TCP/IP的网络层链路

4、层网络层传输层运用代理上层程序链路层网络层传输层运用层客户程序链路层网络层传输层运用层效力程序外部网络网络层防火墙受维护网络.Linux中代理效力和防火墙的实现Linux中运用软件实现代理和防火墙功能运用netfilter/iptables架构实现网络防火墙的根本功能运用squid效力器软件实现HTTP效力的代理功能 麦新衣时髦女装商城httpmaixine/淘宝网首页女装.Linux防火墙软件的开展与实现 Linux中的防火强功能是由内核实现的在2.0内核中，网络防火墙的操作工具称号是ipfwadm在2.2内核中，网络防火墙的操作工具称号是ipchains在2.4之后的内核中，网络防火墙的操

5、作工具称号是iptablesnetfilter与iptables在Linux的内核中运用netfilter架构实现防火墙功能iptables是Linux系统中为用户提供的netfilter管理工具，用于实现对Linux内核中网络防火墙的管理 .iptables规那么链 iptables缺省具有5条规那么链PREROUTINGFORWARDPOSTROUTINGINPUTOUTPUT上层运用程序(接纳或发送网络数据).iptables规那么表 iptables缺省具有3个规那么表Filter：用于设置包过滤NAT：用于设置地址转换Mangle：用于设置网络流量整形等运用不同的规那么表由不同的规那

6、么链组成Filter：INPUT、FORWARD、OUTPUTNAT：PREROUTING、POSTROUTING、OUTPUTMangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD.netfilter/iptables的典型运用netfilter/iptables的典型运用作为主机防火墙实现外部网络与主机之间的访问控制作为网络防火墙提供外部网络与内部网络的访问控制作为网关效力器实现网络地址转换NAT功能，实现内部网络经过网关主机共享访问外部网络netfilter/iptables可以在Linux系统中实现网络防火墙的各种常用功能.iptables

7、的软件包组成RHEL4中的iptables软件包# rpm -q iptablesiptables-1.2.11-3.1.RHEL4 iptables软件包中的管理命令iptables是主要的管理命令，对网络防火墙功能的管理都是经过iptables命令实现的iptables-save命令可以将当前系统中的防火墙设置进展保管iptables-restore命令可以将运用iptables-save命令保管的防火墙战略配置恢复到当前系统中 .iptables效力的启动与停顿 iptables效力启动脚本/etc/rc.d/init.d/iptablesiptables配置文件与战略设置文件 ipta

8、bles配置文件/etc/sysconfig/iptables-config 战略设置文件/etc/sysconfig/iptables iptables效力的启动与停顿 iptables效力缺省自动启动可经过启动脚本手工启动和停顿iptables效力# service iptables start .查看防火墙的根本形状 查询防火墙的形状运用iptables命令查询防火墙形状# iptables -L Chain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target

9、 prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination.运用iptables命令进展战略设置 iptables命令是对防火墙配置管理的中心命令iptables命令提供了丰富的功能，可以对Linux内核中的netfilter防火墙进展各种战略的设置iptables命令的设置在系统中是即时生效的运用iptables命令手工进展的防火墙战略设置假设不进展保管将在系统下次启动时丧失麦新衣时髦女装商城httpmaixine/淘宝网首页女装SEEBA名品导购网httpseeba/.

10、运用iptables-save命令保管设置 iptables-save命令提供了防火墙配置的保管功能iptables-save命令缺省只将配置信息显示到规范输出屏幕中 # iptables-save 假设需求将iptables-save命令的输出保管，需求将命令输出结果重定向到指定的文件中# iptables-save ipt.v1.0运用iptables-save命令可以将多个版本的配置保管到不同的文件中.运用iptables-restore命令恢复设置 iptables-restore命令可恢复防火墙设置iptables-restore命令可恢复运用iptables-save命令保管的防火

11、墙设置内容iptables-restore命令从规范输入或输入重定向文件中获取防火墙的设置内容# iptables-restore -o ppp0 -j MASQUERADE “-t nat -A POSTROUTING 表示在nat表的POSTROUTING规那么链中添加规那么“-s /24表示数据包的源地址为“/24子网 “-o ppp0表示数据包的流出网络接口是“ppp0，“ppp0网络接口具有公网IP地址 “-j MASQUERADE表示对数据包进展的处置，即将符合条件的数据包进展IP伪装 .阶段总结代理效力器和网络防火墙任务在不同的协议层在Linux系统中内核提供包过滤防火墙功能，运

12、用squid效力器实现代理效力器功能netfilter是Linux内核中的包过滤框架，iptables是对netfilter的管理工具运用iptables可设置Linux系统实现各种常用的网络防火墙功能.阶段练习查看Linux系统中iptables软件包中包括的文件，并查询iptables效力的启动形状运用iptables命令查看filter规那么表的设置内容麦新衣时髦女装商城httpmaixine/淘宝网首页女装.squid效力器的功能 squid效力具有以下根本功能提供对HTTP和FTP协议的代理效力缓存代理的内容，提高客户端访问网站的速度，并可以节约出口网络流量对客户端地址进展访问控制，

13、限制允许访问squid效力器的客户机对目的地址进展访问控制，限制客户端允许访问的网站根据时间进展访问控制，限定客户端可以运用代理效力的时间.squid效力器的代理任务机制squid效力器具有代理和缓存的根本功能代理效力器Y数据缓存代理进程远端效力器客户端?N.squid效力器的安装 squid效力器在RHEL4系统中曾经默许安装 # rpm -q squidsquid-2.5.STABLE6-3 squid效力的启动形状squid效力程序在RHEL4中默许不自动启动需求用chkconfig命令设置squid效力在运转级别3和5中自动启动 # chkconfig -level 35 squid

14、on .squid效力启动前的预备确认主机具有完好的域名squid效力运转需求Linux主机具有完好的域名# grep hostname /etc/hosts squid效力器的初始化 在第一次运用squid效力器之前需求先对squid效力器进展初始化任务 # squid -z 初始的主要作用是在squid效力器的任务目录中建立需求的子目录# ls /var/spool/squid/00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F .squid效力的启动与停顿 启动脚本squid效力的启动脚本称号是“squid/etc/init.d/squid 启

15、动与停顿squid效力启动squid效力# service squid start 停顿squid效力# service squid stop效力端口squid效力器的缺省效力端口为3128.squid效力的配置文件3-1 配置目录squid具有独立的目录保管配置文件/etc/squid/ 主配置文件主配置文件squid.conf保管在配置目录中/etc/squid/squid.confsquid.conf文件中的配置选项配置效力端口http_port 3128 .squid效力的配置文件3-2squid.conf文件中的配置选项缓冲内存数量cache_mem 8 MB “cache_mem的

16、值设置为效力器物理内存的三分之一比较适宜 任务目录 cache_dir ufs /var/spool/squid 100 16 256 “cache_dir设置项的缺省值为设置“/var/spool/squid作为squid的任务途径，“100 16 256分别表示，目录中最大的容量是100MB，目录中的一级子目录的数量为16个，二级子目录为“256个 .squid效力的配置文件3-3squid.conf文件中的配置选项访问控制设置“http_access用于设置允许或回绝访问控制对象http_access allow localhosthttp_access deny all 访问控制列表A

17、CL的定义“acl配置项用于设置访问控制列表的内容 acl all src /acl localhost src /55重新启动squid效力对squid.conf文件修正后需求重新启动效力程序# service squid restart .配置透明代理效力器 配置squid效力器 修正squid.conf配置文件中的设置# vi /etc/squid/squid.conf/在配置文件中添加以下的配置行httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header

18、 on 重新启动squid效力器# service squid reload 设置防火墙战略# iptables -t nat -A PREROUTING -s /24 -p tcp -dport 80 -j REDIRECT -to-ports 3128 “-t nat -A PREROUTING 表示在nat表的PREROUTING规那么链中添加规那么“-s /24表示数据包的源地址为“/24子网 “-p tcp表示数据包的协议为“tcp，“-dport 80表示数据包访问的目的端口为“80，即规范的WWW效力 “-j REDIRECT表示将符合条件的数据包进展重定向，“-to-ports

19、 3128表示将数据包重定向到“3128端口，“3128端口是squid效力器提供网页代理效力的端口 .网页阅读器的代理设置 透明代理假设网关配置为透明代理将不需求在网络阅读器中进展任何的代理设置运用代理效力器直接运用squid代理效力器需求在阅读器中进展代理效力器的信息设置.阶段总结squid是著名的代理效力器软件，可实现HTTP和FTP协议的代理功能squid效力器的根本功能包括代理效力和内容缓存效力squid效力器的主配置文件“squid.conf保管在“/etc/squid目录中squid提供代理效力的缺省端口是“3128squid效力器可以对代理的内容和客户端进展一定的访问控制网页阅读器运用代理效力器时需求进展设置.阶段练习查看squid.conf配置文件中的缺省配置内容启动squid效力程序，并查看该效力所运用的网