第2章 配置iptables防火墙（一）.ppt

* 简单介绍iptables-save、iptables-restore命令的作用，并进行演示 可以保存为“/etc/sysconfig/iptables”配置文件，并结合名为“iptables”的系统服务进行控制 * 首先讲解使用防火墙脚本的优越性，可以对比iptables-save、iptables-restore工具的不足进行讲述 * 简略介绍设置防火墙脚本的思路：1）先在命令行编写iptables规则进行测试；2）再组织成Shell语句写入到脚本文件中 接下来介绍防火墙脚本文件的一般结构，分别讲解不同的组成部分（可结合预先编写好的脚本内容进行说明，参考授课素材中的附件），前后连贯，最后完成一个完整的脚本文件 这里可以讲述开启路由转发的几种不同方法，对于网关服务器来说，建议直接在sysctl.conf文件中进行修改 脚本的演示主要在于内容组织结构，新的防火墙规则可以简单一些，例如： —— 仅仅清空原有规则、设置默认策略，并添加几条条规则用于禁止其他主机ping防火墙本机 * 总结本次课程的主要内容，明确学员还存在哪些疑问需要解答 参考问题： 1. iptables防火墙的默认规则表、规则链包括哪些？ 2. 使用iptables命令有哪些方式可以加入新的规则内容（-I、-A、-R）？ 3. 如何保存目前的iptables防火墙策略内容？ 4. 三种最常用的数据包控制方式ACCEPT、REJECT、DROP有什么区别？ 5. …… * 从本页开始（到最后）的PPT部分放在实验课上进行讲解，不要放在理论课上讲解 * 阶段一的指导子阶段 1、教师介绍案例需求 ——公司使用一台运行RHEL5系统的服务器作为网关，分别连接三个网络，其中LAN1为普通员工电脑所在的局域网，LAN2为DNS缓存等服务器所在的局域网。eth0通过10M光纤接入Internet（如下页图所示）。为了有效的管理网络环境及增强内部网络的安全性，需要配置iptables防火墙规则实现基于IP地址和端口的过滤控制 * * 阶段一的指导子阶段 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段一的指导子阶段（续） 3、教师介绍实现思路 注意：本案例主要是让学员熟悉iptables规则设置的语法、防火墙脚本的编写过程等知识。由于SSH、Squid服务在后续章节将会陆续讲到，这里无需验证SSH登录或代理服务的使用。如果有个别优秀学员问题，教员可以提示他自行思考“使用LOG动作来验证访问策略” * 阶段一的练习子阶段 1、本阶段中教员要负责巡视、答疑，对共性问题要及时集中讲解 2、随时检查学员完成情况，跟踪学员实验进度 * 阶段二的指导子阶段 （选作实验） 1、教师介绍案例需求 ——公司最近发现有很多员工在工作期间使用QQ、MSN等工具聊天，严重影响工作效率。为了加强工作纪律管理，公司采取了一些行政手段禁止员工采用类似工具私自聊天，同时要求网络管理员在网关服务器上做相应的技术封锁 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段二的指导子阶段（续） 3、教师介绍实现思路 作为网关过滤其他主机之间的通信时，主要以设置FORWARD链内的规则为主 注意：本案例作为选作案例，仅用于过渡，使学员体会到这种方式的强大和不方便之处，为下一章讲解应用层过滤做铺垫。若中心机房暂时不具备访问Internet的条件，本实验可以从略，但要和学员讲解清楚实现思路 * 阶段二的练习子阶段 1、本阶段中教员要负责巡视、答疑，对共性问题要及时集中讲解 2、随时检查学员完成情况，跟踪学员实验进度 BENET3.0第二学期课程 第二章 配置IPTABLES防火墙（一） —— 上机部分 * 实验案例1：IP地址及端口过滤 需求描述 入站控制： 允许从Internet访问本机的21、25、80、110、143端口 允许从主机 4 访问本机的22端口（远程登录服务），每15分钟记录一次日志 允许从主机 （MAC地址为00:0C:27:30:4E:5D）访问网关的22端口 允许局域网主机（LAN1：/24）访问本机的3128端口（代理服务） 转发控制： 允许LAN1的主机访问位于LAN2的DNS服务器（） * 实验案例1：IP地址及端口过滤 Internet Linux网关服务器 eth1: /24 eth2: /24 eth0: /24 远程管理工作站 4/24 DNS缓存服务器 /24 局域网（LAN1）PC机 /24 MAC: 00:0C:27:30:4E:5D * 实验案例1：IP地址及端口过滤 需求描述（续） 其他未经明确许可的入站数据包，均予以丢弃 本机出站的数据包均允许 将以上各条防火墙策略，整理为Shel