防火墙与代理服务器

1、Linux网络操作系统与培训(第二版)，中国铁道出版社，孔主编，姜庆龄，梁副主编，教材地址：Windows Linux教师交流组：189934741，第15章防火墙与代理服务器，1。项目介绍。防火墙概述，3。iptables，4 .纳特，5。squid代理服务器网络拓扑如下图所示。iptables防火墙的Eth0接口连接到外部网络，IP地址为00；eth1接口连接到IP地址为的内部网。假设内部网中有三个服务器：网络、域名系统和电子邮件，它们都有公共的IP地址。它的IP地址如图所示。设置防火墙规则以加强对内部网服务器的保护，并允许外部网用户访问这三

2、个服务器。本项目引入项目分析，完成本项目需要解决的问题如下：1。什么是防火墙及其工作原理；2.如何使用Iptables设置防火墙；3.如何配置包过滤防火墙；4.如何实现网络地址转换5；什么是代理服务器。它的工作原理是什么？6.squid代理服务器的安装、启动和运行方法。7.squid服务器的配置方法。8.透明代理的配置方法。教学目标介绍。本课学习要达到的教学目标：掌握防火墙的概念和工作原理，Iptables的结构和配置方法，包过滤防火墙的配置方法，代理服务器的工作原理，代理服务器的启动和停止方法，代理服务器配置文件的修改方法。本课程介绍了学生课后应具备的专业能力：掌握为企业设计防火墙的能力，掌

3、握Linux下Iptables的配置方法， 掌握包过滤防火墙的配置能力，掌握NAT的配置能力，执行squid代理服务器的配置能力，具有良好的团队协作能力。 15.1.1防火墙概念、15.1防火墙概述、15.1.2 iptables简介、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理、15.2 iptables、15.2.2 iptables工作原理网络过滤器的五个链相互关联，如图15-1所示。15.2iptables，15.2.2iptab

4、les工作原理，15.2.2 iptables工作原理，15.2 iptables，15.2.2 iptables工作原理，2 iptables工作流程，15.2 iptables，15.2.2 iptables工作原理，15.2 iptables，15.2.3 iptables安装，15.2.3 iptables安装，15.2.4 iptables命令，15.2 iptables，15.2 iptables，15.2 iptables，15.2。 15.3 NAT，15.3.1 NAT (2) NAT用自己的端口号和公共IP地址替换数据包中的端口号和私有IP地址，然后将数据包发送到外部网络的

5、目的主机，并在映射表中记录跟踪信息，以便将回复信息发送给客户端。 (3)外部网络向网络地址转换发送回复信息。(4)NAT将接收到的数据包的端口号和公共IP地址转换成客户端的端口号和内部网络使用的私有IP地址，并将其转发给客户端。15.3网络地址转换，15.3.1网络地址转换基础知识，网络地址转换工作过程示意图：15.3网络地址转换，15.3.1网络地址转换基础知识，网络地址转换分类：(1)源网络地址转换(SNAT)。SNAT指的是修改第一个数据包的源IP地址。SNAT将在包裹寄出前的最后一分钟进行邮寄。Linux中的IP假面舞会是SNAT的一种特殊形式。(2)目的地址转换。DNAT是指修改第一

6、个数据包的目的地址。DNAT总是在数据包进入后立即执行预路由操作。端口转发、负载平衡和透明代理都属于DNAT。15.3网络地址转换，15.3.2网络地址转换由iptables实现，用户通过Iptables命令根据规则处理的数据包类型设置网络地址转换规则：将源IP地址转换的数据包规则添加到后路由链中。将数据包转换为目的地址的规则被添加到预路由链中。直接从本地发出的数据包的规则被添加到输出链中。15.3 NAT，15.3.2带Iptables的NAT和数据包穿越NAT的工作流程图：15.3 NAT，15.3.2带Iptables的NAT，例15-10假设企业网络中的一台NAT服务器配有双网卡，et

7、h0连接到外部网络，eth1连接到内部网络，IP地址为192.168。内部网中的客户端只有私有的IP地址。使用网络地址转换服务，企业内部网络中的计算机可以连接到互联网。15.3网络地址转换，15.3.2网络地址转换使用Iptables，假设以太网的IP地址是静态分配的。公共IP地址池是222 . 206 . 160 . 100-222 . 206 . 160 . 150。此时，SNAT应该完成了，iptables命令的-j参数的语法格式是：-j snat-to-source/-to-ip1-IP 2: port 1-port 2配置步骤：打开Linux的内核转发功能。根服务器# echo“1”

8、/proc/sys/net/IP v4/IP _ forward实现SNAT。根服务器# IPTadslbles t NAT a post routing p TCP o eth 0j snat-to 222 . 206 . 160 . 100-222 . 206 . 160 . 2533603000，15.3 NAT，15.3.2 NAT，带iptables、此时，IP应该被伪装，iptables命令的-j参数的语法格式是：-j假面舞会配置步骤：打开Linux的内核转发功能。根服务器# echo 1 /proc/sys/net/IP v4/IP _ forward实现IP伪装。根服务器# I

9、ptables t NAT PPP 0-j伪装的后路由，15.3 NAT，15.3.2 NAT由Iptables实现，示例15-11假设企业网络中的一台NAT服务器安装了双网卡，eth0连接到外部网络，并且IP地址是00。Eth1连接到IP地址为的内部网。内部网中的网络服务器的IP地址是。要求互联网用户在浏览器中输入00时，可以访问内部网的网络服务器。15.3网络地址转换，15.3.2使用Iptables实现网络地址转换，根据主题要求，此时应进行DNAT。iptables命令的-j参数的

10、语法格式是：-j DNAT-to-destination/-to ip1-IP 2: port 1-port 2。实现dnat的配置声明：# Iptables t NAT a routing p TCP d 222 . 206 . 160 . 100-dport 80j dnat-to 192 . 168 . 1 . 2:80或：# Iptables t NAT a routing p TCP I eth 0-dport 80j dnat-to 192 . 168 . 1 . 2:80，15.4 squid代理服务器，15.4.1代理服务器的工作原理，(2)用户访问限制。(3)安全性提高。15

11、.4 squid代理服务器，15.4.3安装、启动和停止squid服务，15.4.3安装、启动和停止Squid服务，15.4.3安装、启动和停止Squid服务，15.4.3安装、启动和停止Squid服务，15.4 squid代理服务器，15.4.4配置Squid服务器，1几个常用选项(1)http_port 3128。http _ port 192 . 168 . 2 . 254:8080，(2)cache_mem 512MB .内存缓冲区设置是指需要多少内存用作缓存。(3)cache _ dir ufs/var/spool/squid 4096 16 256 .用于指定硬盘缓冲区的大小。(4

12、)cache_effective_user squid .设置使用缓存的有效用户。cache _ effective _ user none，(5)cache_effective_group squid .使用缓存设置有效的用户组，默认为squid组，但也可以更改。15.4 squid代理服务器，15.4.4 squid服务器配置，1几种常用选项，(6)00域名服务器。设置有效的域名系统服务器的地址。(7)cache _ access _ log/var/log/squid/access . log .为访问记录设置日志文件。(8)cache _ log/var/lo

13、g/squid/cache . log .设置缓存日志文件。该文件记录有关缓存的信息。(9)cache _ store _ log/var/log/squid/store . log .设置网页缓存日志文件。网页缓存日志记录缓存中存储的对象的相关信息，如大小、存储时间、过期时间等。15.4 squid代理服务器，15.4.4 squid服务器配置，1几个常用选项，(10)visible_hostname 。可见主机名字段用于帮助Squid知道当前的主机名。如果未设置此项，启动Squid时将会出现提示“致命：无法确定完全限定的主机名，请设置可见的主机名”。出现访问错误时，该

14、选项的值将出现在客户端错误提示页面中。(11)cache_mgr .设置管理员的电子邮件地址。当客户端出现错误时，电子邮件地址会出现在网页提示中，以便用户可以写信给管理员告知发生了什么。15.4 squid代理服务器，15.4.4配置squid服务器，2设置访问控制列表，15.4.4配置squid服务器，15.4 squid代理服务器，15.4.4配置squid服务器，15.4.4配置squid代理服务器，15.4 squid代理服务器，15.4.4 squid代理服务器，15.4.4 squid代理服务器，15.4.5透明代理，15.4.4 squid代理服务器，15.4.4 Squid代理服务器，15 . 4 . 4 . 4 Squid代理服务器15.4.4 squid代理服务器，15.4.4 squid代理服务器，15.4.4配置Squid服务器，15.4 squid代理服务器，15.4.4配置Squid服务器，总结一下，本项目的解决方案是： /1。 清除所有链规则rootServe