1、第第16章章 Linux路由防火墙路由防火墙Linux篇篇4/23/20241p 本讲要点本讲要点内容介内容介绍绍 本章本章节节介介绍绍了了Linux系系统实现带统实现带有防火有防火墙墙功能的路由功能。功能的路由功能。重点重点讲讲解了启用路由后,解了启用路由后,讲讲解了网解了网络络数据包如何通数据包如何通过过滤过过滤的的操作命令,及其命令操作命令,及其命令iptables的的语语法及其各个参数法及其各个参数选项选项,并,并以以举举例的形式例的形式讲讲解了常用的配置方法。解了常用的配置方法。4/23/20242典型典型Linux路由防火墙示意图路由防火墙示意图4/23/2024虚线实现了端口映射
2、图16-1 典型的Linux路由防火墙应用链表数据流图链表数据流图4/23/2024路由防火墙功能配置概要说明路由防火墙功能配置概要说明开启路由功能开启路由功能echo “1”/proc/sys/net/ipv4/ip_forwardecho “1”/proc/sys/net/ipv4/ip_forward,也可以配置,也可以配置,也可以配置,也可以配置/etc/sysctl.conf/etc/sysctl.conf内容内容内容内容1.掌握掌握iptables 的命令方式的,自建立防火的命令方式的,自建立防火墙过滤墙过滤功能,并了解功能,并了解iptables所依所依赖赖的的Centos操作系
3、操作系统统的的netfilter的模的模块块,在,在/lib/modules目目录录下下寻寻找到找到2.掌握掌握Centos系系统统自自带带了防火了防火墙墙配置功能,配置功能,在在CentOS7 及以上版本中,及以上版本中,Linux系系统统默默认认采用采用firewalld的管理方式,能的管理方式,能够够通通过过firewall-cmd命命令令进进行行维护维护和管理防火和管理防火墙规则墙规则。4/23/2024systemctl stop firewalld 关关闭firewalld的守的守护进程,程,停用停用firewall-cmd的操作的操作systemctl start iptable
4、s 开启开启iptables的守的守护进程程systemctl stop iptables 停止停止iptables的守的守护进程程service iptables save 可以保存可以保存iptables命令添加的命令添加的规则到到/etc/sysconfig/iptables由于配置很灵活,需要由于配置很灵活,需要结合教材,参考(搜索百度或必合教材,参考(搜索百度或必应)更多的更多的资料料4/23/2024小结小结 本文本文详细讲详细讲解了解了iptables的使用。如果要的使用。如果要让让Linux具有具有IP数据数据转发转发功功能,就必能,就必须须使用命令使用命令echo “1”/p
5、roc/sys/net/ipv4/ip_forwardecho “1”/proc/sys/net/ipv4/ip_forward完成路完成路由由转发转发开关开关设设定。定。iptables通通过过NAT功能功能实现实现内网共享上网,同内网共享上网,同时还时还可可以采用地址和端口映射功能,解决外部网主机以采用地址和端口映射功能,解决外部网主机间间接接访问访问内网指定的主机内网指定的主机服服务务的的问题问题。iptables的命令的命令语语法格式与其他的系法格式与其他的系统统命令有很多不同,主要体命令有很多不同,主要体现现在在组组合复合复杂杂。使用。使用iptables的的时时候,注意候,注意对对
6、什么表操作,有什么表操作,有filter、nat等;等;对对什么什么链链操作,有操作,有INPUT、OUTPUT、FORWARD、PREROUTING和和POSTROUTING等,其中等,其中INPUT和和OUTPUT为为解决解决Linux主机本地安全主机本地安全的保的保护链护链,其他的完成路由和,其他的完成路由和NAT功能;需要什么功能;需要什么样样的匹配和目的匹配和目标标。最。最终终,我,我们们使用使用iptables的的时时候,需要主机表、候,需要主机表、链链、匹配和、匹配和处处理目理目标标相关相关结结合来完成网合来完成网络络数据包的数据包的处处理。理。4/23/20247实践练习:实践
7、练习:1采用采用Linux作作为为路由器,能路由器,能够够完全完全转发转发所有所有IP数据,如何数据,如何设设置?置?2采用采用Linux作作为为路由防火路由防火墙墙,如何,如何设设定拒定拒绝绝所有所有访问访问Linux本地主机的数本地主机的数据包,以保据包,以保护护Linux系系统统本身安全。本身安全。3采用采用iptables设设定防火定防火墙规则墙规则,要求如下:,要求如下:(1)拒拒绝绝192.168.10.22主机从主机从eth2接口接口访问访问本地本地Linux主机。主机。(2)只允只允许许子网子网192.168.1.0/24和和192.168.2.0/24能能够访问够访问本地本地
8、Web服服务务80端口。端口。4如何如何实现实现一个企一个企业业共享共享ADSL上上Internet网网络络,要求如下:,要求如下:(1)Linux作作为为出口路由防火出口路由防火墙墙,能,能够够ADSL拨拨号。号。(2)将企将企业业内网所有的主机内网所有的主机NAT转换转换后上后上Internet网。网。(3)将将Internet网主机网主机访问访问ADSL的的ppp0接口、接口、80端口,即端口,即访问访问内网主机内网主机192.168.1.8的的Web服服务务器。器。(4)实现员实现员工能工能够够外出利用外出利用Internet网网络远络远程接入公司内网的程接入公司内网的Windows VPN服服务务器。器。5如何在如何在Linux路由防火路由防火墙墙上上实现实现智能智能DNS服服务务,解决内网不知道,解决内网不知道DNS服服务务的情况?的情况?4/23/20248