广州工程技术职业学院广州工程技术职业学院

第第 1515 章 章 LinuxLinux 防火墙防火墙与代理服务器与代理服务器

广州工程技术职业学院 Linux网络操作系统

2

本章内容 防火墙简介 用 iptables 设置防火墙

广州工程技术职业学院 Linux网络操作系统

3

防火墙简介 防火墙的概念和功能 防火墙的分类和基本工作原理 Linux 的防火墙

广州工程技术职业学院 Linux网络操作系统

4

防火墙的概念和功能 防火墙具有以下几种功能 :

实施安全策略 过滤传输数据 记录 Internet 活动 IP 地址转换 保护内部网络信息

广州工程技术职业学院 Linux网络操作系统

5

防火墙的分类和基本工作原理 分类：

包过滤防火墙（ Packet Filtering Firewall ） 代理防火墙（ Proxy Firewall ） 状态监测防火墙（ Stateful Inspection Firewall ）

广州工程技术职业学院 Linux网络操作系统

6

包过滤防火墙 优点 ：

处理速度快 对用户的透明性

缺点： 不能实现用户级别的认证 日志记录不完善 无法防御 IP 欺骗 对某些协议不适用

广州工程技术职业学院 Linux网络操作系统

7

代理防火墙 优点 ：

安全性 灵活的过滤规则 详细的日志记录

缺点： 处理速度慢 对用户不透明 代理服务类型的限制

广州工程技术职业学院 Linux网络操作系统

8

状态监测防火墙 又称动态包过滤防火墙。 主要特点有：

高安全性 可伸缩性和可扩展性 应用范围广

广州工程技术职业学院 Linux网络操作系统

9

Linux 的防火墙 在 Linux 1.2.x 和 2.0.x. 内核中，防火墙系统为

ipfawdm ，能够实现对 TCP 、 UDP 、 ICMP 协议数据包的过滤。

在 Linux 2.2.x 的内核中，防火墙为 iptables

在 Linux 2.4.x 中使用 netfilter 做为防火墙系统，相应的配置工具为 iptabless 。

广州工程技术职业学院 Linux网络操作系统

10

用 iptables 设置防火墙 iptables 简介 iptables 命令 用 iptables 进行包过滤 用 iptables 做 IP Masquade

用 iptables 做透明代理

广州工程技术职业学院 Linux网络操作系统

11

iptables 简介 相对于 ipfawdm ， iptables 中新增的特性有：

QoS 支持（ Quality of Service ，服务质量） 用树型的链系统（ Tree style chains system ）代替了线型的链系统（ Linear system ） 配置上更加灵活，能够更加容易地对防火墙的配置进行大范围的改动 能够对任何协议进行过滤，而不只是 TCP 、 UDP 和ICMP

支持反向过滤规则

广州工程技术职业学院 Linux网络操作系统

12

iptables 简介用 iptables 不只能够配置防火墙进行包过滤，还可以用它来配

置 IP Masquerade 实现多台客户机共用一个外部 IP 接入Internet ，以及配置透明代理，使客户端无需进行特殊设置即可使用代理服务器访问网上资源。

广州工程技术职业学院 Linux网络操作系统

13

iptables 命令 防火墙链包括三种标准的链：

input 链。output 链。forward 链。

用户自定义的链—— user defined 。

广州工程技术职业学院 Linux网络操作系统

14

iptables 命令iptables 命令的格式是：

iptables -[ADC] 链 指派的规则 [ 选项 ]

iptables -[RI] 链 规则号码 指派的规则 [ 选项 ]

iptables -D 链 规则号码 [ 选项 ]

iptables -[LFZNX] [ 链 ] [ 选项 ]

iptables -P 链 目标 [ 选项 ]

iptables -M [ -L | -S ] [ 选项 ]

广州工程技术职业学院 Linux网络操作系统

15

iptables 命令禁止所有 ICMP 包进入防火墙 ：

# iptables –A input –p ICMP –j DENY

在 localnet 链中添加一条规则，对来自任何非本局域网内的目的端口为局域网内的主机的 1-1024 端口的数据包都拒绝 。

# iptables –A localnet –s ! 192.168.1.0/24 –d 192.168.1.0/24 1:1024 –j DENY

允许本子网内的主机对外部网络中的任何主机进行访问

# iptables –A localnet –s 192.168.1.0/24 –d 0.0.0.0/0.0.0 –j ACCEPT

删除掉 localnet 链中的第一条规则 # iptables –D localnet 1

广州工程技术职业学院 Linux网络操作系统

16

用 iptables 进行包过滤

默认拒绝所有数据包 默认接受所有数据包 设置防火墙启动脚本

广州工程技术职业学院 Linux网络操作系统

17

默认拒绝所有数据包

首先拒绝所有的输入、输出、转发包（把三条链的默认策略设置成 DENY ），然后根据需要逐个打开要开放的各项服务。

广州工程技术职业学院 Linux网络操作系统

18

默认接受所有数据包 首先默认允许接受所有的输入、输出、转发包（把三条链的默认策略设置成 ACCEPT ），然后拒绝某些危险包，如 IP 欺骗包、广播包、ICMP 服务类型攻击等。同时检查系统上的各种服务，禁用所有不需要的服务。

广州工程技术职业学院 Linux网络操作系统

19

用 iptables 做 IP Masquade IP Masquade 简介 IP Masquade 的工作方式 设置 Linux 启用 IP Masquade

广州工程技术职业学院 Linux网络操作系统

20

IP Masquade 简介 IP Masquade （ IP伪装）是 Linux 的一项网络功能，类似于一对多（ One to Many ）的网络地址转换（ NAT ）。

广州工程技术职业学院 Linux网络操作系统

21

IP Masquade 的工作方式

广州工程技术职业学院 Linux网络操作系统

22

设置 Linux 启用 IP Masquade

要对内部网络中的所有主机开放 IP Masquade # iptables -A forward -i ppp0 -s 192.168.1.0/24 -j MASQ

广州工程技术职业学院 Linux网络操作系统

23

用 iptables 做透明代理 透明代理简介 透明代理的设置

广州工程技术职业学院 Linux网络操作系统

24

透明代理简介 透明代理是指不需要客户端进行设置就能使用的代理服

务器 架设透明代理服务器有几个条件：

代理服务器和防火墙设置在同一台 Linux 服务器上。 这台 Linux 服务器同时是局域网的网关。 客户端的 DNS必须设置正确。

广州工程技术职业学院 Linux网络操作系统

25

透明代理的工作方式 客户端要访问 Internet 上的一个 Web 网址，首先用 DNS 服务器

进行地址解析，得到此网址的 IP 地址，然后把连接请求的数据包发送给网关进行路由。

网关，也就是透明代理服务器，接收到这个数据包后，对数据包的包头信息进行判断，发现目的地址的端口是 80，也就是HTTP 服务的端口，按照防火墙的设置，把此数据包重定向到本地的代理服务器端口。

代理服务器接收到这个连接请求的数据包后，按照数据包中的请求信息，去Web 服务器上取得相应的页面文件，然后发送给客户端。

广州工程技术职业学院 Linux网络操作系统

26

透明代理的设置 设置透明代理服务器包括两个部分，代理服务器

的设置和防火墙的设置。 首先要确保在编译内核的时候打开了 IP:

transparent proxy support 选项。用 iptables配置防火墙加入如下规则：

# iptables -P input ACCEPT

# iptables -P output ACCEPT

# iptables -P forward DENY

# iptables -A input -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 80 -j REDRIECT 3128

广州工程技术职业学院 Linux网络操作系统

27

本章小结 掌握利用 iptables 设置防火墙掌握真实工程中防火墙的部署与实施