/1,Linux系统操作,第11章 代理及防火墙,/2,上一章内容回顾,Linux系统的telnet服务 Window系统的telnet服务 Linux系统的vsftp服务 Linux系统的ssh服务,/3,本章学习目标,熟悉squid代理服务器的安装配置 熟悉iptables防火墙的工作原理 熟练iptables防火墙的安装配置,/5,squid的安装配置,应用代理技术,想从内部网访问外部的服务器?我帮你发请求吧。,/6,squid的安装配置,代理服务器及squid作用 代理服务器的作用 沟通内部网络和Internet 权限控制 缓存访问内容 squid的功能 FTP HTTP 不支持socks,/7,squid的安装配置,Squid代理服务器 squid-2.5.STABLE1-2.i386.rpm 端口号3128 /etc/rc.d/init.d/squid 服务器启动、停止脚本 /usr/sbin/squid 服务器守护进程 /etc/squid/squid.conf 服务器运行配置文件 /var/log/squid 服务器运行日志文件所在目录,/8,squid的安装配置,Squid配置 配置文件/etc/squid/squid.conf http_port 指定Squid监听客户请求的端口,缺省端口3128 cache_mem 配置缓冲内存的大小 maximum_object_size 单位为K,大于该值的对象不存储。 cache_dir 配置代理服务器的硬盘缓冲目录和大小,以存储访问过的页面 /var/spool/squid,/9,squid的安装配置,Squid配置 cache_access_log 指定记录客户请求日志的路径。 默认/var/log/squid/access.log ftp_user 设置登录匿名FTP服务器时提供的电子邮件地址。 dns_nameservers 指定DNS服务器列表,/10,squid的安装配置,squid配置 acl 定义访问控制列表 acl aclname acltype string1 . acl aclname acltype “file” . tcltype可以是src、dst、 port、proto、method等 acl 示例 acl all src acl Safe_ports port 80,/11,squid的安装配置,squid配置 http_access 根据前面定义的访问控制列表设置允许或禁止某类访问。 allow-deny-allow-deny http_access deny all cache_mgr 配置代理服务器管理者的电子邮件 visible_hostname 定义Squid在错误页面中显示的服务器名称,/12,squid的安装配置,启动/关闭squid rootmail squid# service squid 服务器使用方法 start|stop|status|reload|restart|condrestart ps -ef|grep squid查看启动进程 root 9681 1 squid -D squid 9683 9681 squid squid 9685 9683 (unlinkd),/13,squid的安装配置,Squid使用,#vi /etc/squid/squid.conf # And finally deny all other access to this proxy http_access deny all将“deny”修改为“allow”。,/14,内容进度,squid的安装配置 iptables的工作原理 iptables的安装配置,/15,iptables的工作原理,传统防火墙包过滤技术,/16,iptables的工作原理,网络层防火墙,/17,iptables的工作原理,Linux防火墙,ipfwadm,netfilter,iptables,ipchains,/18,iptables基本原理,iptables规则链,/19,iptables基本原理,iptables规则表,Filter:INPUT、FORWARD、OUTPUT NAT:PREROUTING、POSTROUTING、OUTPUT Mangle:OUTPUT、POSTROUTING、INPUT、FORWARD、POSTROUTING。,/20,内容进度,squid的安装配置 iptables的工作原理 iptables的安装配置,/21,squid的安装配置,Iptables防火墙 iptables-1.2.7a-2.i386.rpm /etc/rc.d/init.d/iptables 防火墙启动、停止脚本 /sbin/iptables 防火墙守护进程 service iptables 防火墙的使用方法 start|stop|restart|condrestart|status|panic|save,/22,iptables安装配置,配置防火墙 命令语法 iptables -t table -ADC chain rule-specification options iptables -t table -I chain rulenum rule-specification options iptables -t table -R chain rulenum rule-specification options iptables -t table -LFZ chain options iptables -t table -N chain 格式iptables -t table command match -j target/jump,/23,iptables安装配置,-t table指定规则表 -t 有filter nat mangle,缺省filter表 command 指定常用操作 -A, -append 新增规则 -D, -delete 删除规则 -R, -replace 取代规则 -I, -insert 插入规则 -L, -list 列出规则 -F, -flush 清空规则 -P, -policy 设置链缺省规则,/24,iptables安装配置,match规则定义参数 -p, -protocol 指定协议 tcp udp icmp -s, -src, -source 指定源ip地址 -d, -dst, -destination 指定目标ip地址 -i, -in-interface 指定从哪个网卡入 -o, -out-interface指定从哪个网卡出 -sport, -source-port 指定源端口 -dport, -destination-port 指定目标端口 -m mac -mac-source 指定源网络硬件地址,/25,iptables安装配置,-j target/jump 常用的处理动作 ACCEPT: 将封包放行 REJECT: 拦阻该封包,并传送封包通知对方 DROP: 丢弃封包不予处理 SNAT: 改写封包来源 IP 为某特定 IP 或 IP 范围 DNAT: 改写封包目的地 IP 为某特定 IP 或 IP 范围,/26,iptables安装配置,filter配置 阻止所有ping的包文。 # iptables -D INPUT -p icmp -j REJECT # iptables -D INPUT -p icmp -j DROP 仅阻止你的主机访问你的虚拟机的WWW服务 iptables A INPUT s -p tcp -dport 80 -j DROP,/27,iptables安装配置,NAT配置 目的NAT(DNAT) iptables t nat A PREROUTING d -p tcp -dport 80 -j DNAT -to 源NAT(SNAT) iptables t nat A POSTROUTING s -j SNAT to,/28,本章内容总结,squid的安装。 squid的常用配置项。 iptables的工作原理。 iptables的常用包过滤规则配置。,
