Linux防火墙的配置

工程三：Linux防火墙实验目的Linux下的防火墙是iptables/netfilter。iptables是一个用来指定netfilter规那么和管理内核包过滤的工具，它为用户配置防火墙规那么提供了方便。与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。本实训通过对Linux系统下的防火墙的配置，到达如下目的：1、熟悉Linux防火墙的表、链结构。2、理解数据包匹配的根本流程。3、管理和设置iptables规那么。4、使用SNAT策略配置共享上网。5、使用DNAT策略发布企业内网的应用效劳。6、熟练编写iptables防火墙脚本。7、掌握Linux下常用的网络效劳的配置。实验拓扑：Win2003外网效劳器内网接口IP〔eth0〕：外网接口IP〔eth1〕：任务1配置必要的网络环境

外网效劳器：防火墙内网接口：〔eth0〕防火墙外网接口：〔eth1〕内网效劳器：内网客户机：IP地址分配方案：防火墙内网接口地址：防火墙内网接口地址：内网效劳器IP地址：内网客户机IP地址：外网效劳器IP地址：验证内网之间，内网与防火墙内网接口，外网效劳器与防火墙外网接口可以连通。启用防火墙的IP包转发功能Iptables–tnat设置源地址转换，使得内网客户机能够访问外网的效劳器任务2配置Windows效劳器的常用效劳

配置NDS效劳器:配置公网的www效劳和FTP，实现客户端可以访问公网的web页面以及FTP的根本效劳。任务3配置内网Linux效劳器的常用效劳

Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport80–jDNAT–to-destination:80iptables-AFORWARD-ptcp--dport80-jACCEPTiptables-AFORWARD-ptcp--sport80-jACCEPT配置Linux的Web效劳器，并设置防火墙的IP包转发功能，实现通过访问防火墙的公网地址可以访问内网的Web效劳器配置Linux的FTP效劳器，并设置防火墙的IP包转发功能，实现通过访问防火墙的公网地址可以访问内网的FTP效劳器的匿名下载功能。Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport21–jDNAT–to-destination:21Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport20–jDNAT–to-destination:20iptables-AFORWARD-ptcp--dport20:21-jACCEPTiptables-AFORWARD-ptcp--sport20:21-jACCEPT任务4防火墙的包过滤功能设置〔filter表〕1、修改防火墙的策略，将包转发设置为拒绝〔缺省为ACCEPT〕iptables–PFORWARDDROP2.修改防火墙的策略，当内网用户用ping命令探测防火墙网关效劳器时显示超时。iptables–AINPUT–ieth1–picmp––icmp-type8–jDROP3、添加防火墙规那么，允许内网用户使用公网DNS效劳器进行域名解析。iptables-AFORWARD-ptcp--dport53-jACCEPTiptables-AFORWARD-pudp--dport53-jACCEPTiptables-AFORWARD-ptcp--sport53-jACCEPTiptables-AFORWARD-pudp--sport53-jACCEPT4、添加防火墙规那么，允许内网用户使用公网Web效劳进行网页浏览。iptables-AINPUT-ieth0-ptcp-s0/0--sport80-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-ieth0-ptcp-s0/0--sport443-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-