Linux服务器配置实训教程 教学课件 作者 郝维联 chapter6.ppt

机械工业出版社 中等职业教育“十一五”规划教材?电子商务专业 机械工业出版社 第六章项目5——配置iptables实现NAT和防火墙 【职业能力目标】 1）设置iptables架设NAT服务器，实现内部网用户访问Internet; 2）设置iptables控制网络访问，实现防火墙功能。 6.1关于iptables、NAT和防火墙的必要知识 iptables是集成在Linux系统中用于实现网络控制的防火墙软件 NAT（网络地址转换，Network Address Translator）技术是将私有IP转换为公网IP，使内部网用户能够访问Internet。 防火墙是指放置于安全网络和非安全网络之间的网络设备，使用防火墙可以提高受保护网络的安全性，同时又可以确保网络畅通。 6.1关于iptables、NAT和防火墙的必要知识 6.2任务1——配置iptables，实现通过NAT访问Internet 任务景境： 某企业已经组建了内部局域网，有网络用户150人。企业内部网络使用私有IP地址段为192.168.1.1~192.168.1.255，子网掩码为255.255.255.0。企业需要访问Internet，并向ISP申请了一条10M的以太网线路，并申请了4个公网IP，IP地址范围为210.30.110.129~210.30.110.132，子网掩码为255.255.255.0。现在需要实现企业内部的所有用户都通过这条线路访问Internet。 6.2.1需求分析 本任务实际上是实现内部网络用户通过一条线路共享上网。 小型企业比较适合使用通过Linux系统的iptables设置NAT的方法实现Internet共享访问。 6.2.2 配置方案 在Linux服务器上安装、启动和配置iptables，实现NAT。 6.2.3 配置过程 1、将服务器连接到网络。 6.2.3 配置过程 2、设置网卡的IP地址 。 配置IP地址： [root@localhost ~]# ifconfig eth0 210.30.110.129 netmask 255.255.255.0 [root@localhost ~]# ifconfig eth1 192.168.1.1 netmask 255.255.255.0 使网卡配置生效： [root@localhost ~]# ifconfig eth0 up [root@localhost ~]# ifconfig eth1 up 6.2.3 配置过程 3、设置系统的DNS的IP地址 。 修改配置文件/etc/resolv.conf ： nameserver 202.96.64.68 nameserver 202.96.69.38 6.2.3 配置过程 4、实现iptables的NAT功能。 （1）用下面方法检查是否安装了iptables。 （2）打开路由功能，即IP forward。 （3）使用ip forwarding功能。 （4）重新加载xinetd服务，以便使设置生效。 （5）运行iptables的NAT [root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 210.30.110.129 6.2.4 应用测试 1、服务器端验证 2、客户端配置和验证 6.3 任务2——配置iptables，实现防火墙功能 任务景境： 某企业在任务1中通过配置Linux服务器的iptables的NAT，已经实现了内部网用户通过一条租用线路共享访问Internet。现在还有如下需求： 企业有一台Web服务器，为提高安全性将其放置于内部网，ip地址为192.168.1.100，可供内部用户访问。现在需要提供外部网络的用户通过Internet访问该Web服务器。 为了避免来自Internet的ping攻击，需要禁止外网的ping，但允许内部网络使用ping测试网络连通性。 禁止某部门的三台计算机上网，IP地址范围为192.168.1.61~192.168.1.63。 限制对一些不健康网站的访问。 封闭一些病毒常用的端口。 企业不再另外购买防火墙，要求利用现有条件实现这些网络安全需求。 6.3.1 需求分析 利用Linux服务器的iptables的防火墙功能 。 6.3.2 配置方案 在Linux服务器配置iptables，实现网络安全管理。 6.3.3 配置过程 1、发布内部网络的Web服务器 2、禁止外部网的ping 3、禁止某些内部主机访问Internet 4、限制对某些不健康网站的访问 5、封闭一些病毒常用的端口 6.3.4 应