收藏
下载资源

LINUX路由器与防火墙

上传人:飞*** 文档编号:49098949 上传时间:2018-07-23 格式:PPT 页数:62 大小:353.50KB
返回 下载 相关 举报
LINUX路由器与防火墙_第1页
第1页 / 共62页
LINUX路由器与防火墙_第2页
第2页 / 共62页
LINUX路由器与防火墙_第3页
第3页 / 共62页
LINUX路由器与防火墙_第4页
第4页 / 共62页
LINUX路由器与防火墙_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《LINUX路由器与防火墙》由会员分享,可在线阅读,更多相关《LINUX路由器与防火墙(62页珍藏版)》请在金锄头文库上搜索。

1、 作者: 康治金第十五章路由器与防火墙Red Hat Linux 9.0课件LINUX路由器与防火墙 案例二及其相关内容 基础内容介绍 案例一及其相关内容 课后习题 课程总结与操作实训内容导向LINUX路由器与防火墙本章教学目标:掌握Linux路由器的配置掌握Linux防火墙的配置理解Linux防火墙的应用 LINUX路由器与防火墙重点:Linux下路由及防火墙配置难点:如何使用iptables工具配置防火墙规则。关键词:路由 防火墙 LINUX路由器与防火墙15-1 路由器的原理与作用 1.路由器的定义:路由器是架构在不同的网络之间, 用于实现数据传输的路径选择的一种设备。LINUX路由器与

2、防火墙2.路由器的作用(1)协议转换(2)路由选择(3)流量控制(4)数据的分段和组装(5)网络管理(6)隔离广播 (7)网络互联 LINUX路由器与防火墙3、路由表的分类(1)静态路由表由系统管理员事先设置好固定的路径称为静态路由表,一般是在系统安装时就根据网络的配置情况预选设定的;(2)动态路由表动态路由表是路由器根据网络系统的运行情况而自动调整的路由表。 LINUX路由器与防火墙4.路由器的工作原理(1)路由表(静态、动态)(2)源主机与目的主机在同一网络直接发送(3)不在同一网络时,源主机把数据包发送给本网络的某一台路由器,路由器根据路由表进行数据转发 LINUX路由器与防火墙返回首页

3、返回首页LINUX路由器与防火墙案例一:在不同网络之间的计算机是不可能进行通信的,这时可以借助于路由器,可是一台硬件路由器的价格是比较昂贵的,如果你在做一个实验,必须要实现不同子网之间的数据的传输,可是你又没有资金去习一台价格昂贵的路由器,你该如何利用软件去实现,其实LINUX操作系统就相当于一台CISCO路由器,这时你该如何利用LINUX系统去实现三个子网间的通信;按照以下要求去进行配置;给出案例LINUX路由器与防火墙把一个LINUX主机作为路由器,其中有三块网卡;三块网卡分别对应三个子网;网卡eth0对就192.168.1.0网段;eth1对应192.168.10.0网段;eth2对应1

4、92.168.100.0网段;在该系统中进行静态路由的配置,能让三个子网间相互通信;LINUX路由器与防火墙15-2 静态路由的配置及其实现 (1)启用Linux系统的路由转发功能# vi /etc/rc.d/rc.local 添加以下内容echo 1 /proc/sys/net/ipv4/ip_forward与案例有关的内容分析 LINUX路由器与防火墙(2)配置网卡接口的ip信息通常为网关地址;LINUX路由器与防火墙(3)配置静态路由表如:# route add -net 192.168.1.0/24 dev eth0# route add host 192.168.0.1 dev et

5、h0# route add net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.1LINUX路由器与防火墙(4)测试静态路由在不同的子网中的一台LINUX客户机上配置网络接口与网关利用ping命令进行测试;LINUX路由器与防火墙(1)启用Linux系统的路由转发功能# vi /etc/rc.d/rc.local 添加以下内容echo “1” /proc/sys/net/ipv4/ip_forward或# echo “echo 1”/proc/sys/net/ipv4/ip- forward” /etc/rc.d/rc.local15-3 动态

6、路由及其实现LINUX路由器与防火墙(2)启用动态路由协议zebra 简介zebra是基于Linux系统的Cisco路由仿真软件,该软件支持 IPv4、IPv6 协议和其他多种路由协议。 zebra的特性:模块化设计、运行速度快、具有高可靠性;为什么使用zebra:1、替代昂贵的硬件路由器2、配置与CISCO的IOS配置相同;LINUX路由器与防火墙zebra的安装 # rpm ivh zebrai386.rpm (CD3)相关文件:vtysh/配置工具zebra.conf/zebra的主配置文件/etc/zebra/存放zebra配置文件目录LINUX路由器与防火墙创建动态路由的配置文件#

7、touch /etc/zebra/文件名.conf注:RIP协议(路由信息协议)的配置文件名是ripd.confOSPF协议(开放式最短路径优先)的配置文件名是ospf.confBGP协议(边界网关路由协议)的配置文件名是bgp.conf LINUX路由器与防火墙启动服务# service zebra start# service ripd startLINUX路由器与防火墙配置动态协议# vtysh rh9以下为Cisco路由器命令LINUX路由器与防火墙分组操作点评、操作演示:LINUX路由器与防火墙返回首页返回首页LINUX路由器与防火墙案例二网络的安全是越来越重要,随着技术的发展,各类

8、硬件防火 墙一代代的产生,其实LINUX也同样的具有防火墙的功能,同时也具有代理服务器的功能,请你根据以下要求来进行配置;利用iptables建立一个自定义链ahxh应用该链,对从192.168.5.123过来的数据全部丢弃;应用之后再删除该链;设置一条默认的规则,允许接收所有的数据,拒绝net表中数据通过;拒绝192.168.5.3主机发送icmp请求 LINUX路由器与防火墙拒绝192.168.5.0网段ping 防火墙主机,但允许防火墙主机ping 其他主机 拒绝防火墙主机向192.168.5.0网段发送icmp应答,等同于上一条指令 拒绝转发数据包到 NAT,伪装内网192.168.5

9、.0网段的的主机地址为外网192.168.1.48,这个公有地址,使内网通过NAT上网,前提是启用了路由转发 把internet上通过80端口访问192.168.1.48的请求伪装到内网192.168.5.5这台WEB服务器,即在iptables中发布WEB服务器,前提是启用路由转发 LINUX路由器与防火墙15-4 防火墙基础 1.防火墙定义防火墙是指隔离在本地网络和外界网络之间的一道防御系统。其基本实现方式有以下三种:(1)包过滤(2) NAT(网络地址翻译) (3)代理服务 与案例有关的内容分析LINUX路由器与防火墙防火墙分类包过滤防火墙 (网络层)内容过滤防火墙 (应用层)LINUX

10、路由器与防火墙2. 包过滤防火墙 (1)包过滤防火墙定义包过滤是用一个软件查看所流经的数据包的包头(header),由此决定整个数据包的命运(丢弃/接受/其他相关操作)。LINUX路由器与防火墙(2)包过滤防火墙的工作原理 存储包过滤规则分析数据包的报头应用下一个规则允许传输?阻塞传输?末条规则?允许包阻塞包yyynn nLINUX路由器与防火墙3. Linux系统中常用的包过滤软件ipfwadm (应用于2.0内核)ipchains (应用于2.2内核)iptables (应用于2.4内核)LINUX路由器与防火墙15-5 Iptables的基础1. netfilter/iptables的含

11、义netfilter也称内核空间,是用来实现防火墙的过滤器iptables 也称用户空间,是用来指定Netfilter规则的用户工具LINUX路由器与防火墙netfilter/iptables的功能包过滤NAT连接跟踪QOS (网络服务质量,是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定 )LINUX路由器与防火墙2. netfilter的体系netfiltertable2rule1ipchain2ipchain1rule2table1 LINUX路由器与防火墙各部分说明:(1)表(table)定义:一种存放规则链的容器(2)链(ipchain)定义:细分表的具体功能

12、,每条链由若干条规则构成(3)规则(rule)定义:是一种包含条件的判断语句,用于确定如何处理数据包LINUX路由器与防火墙 15-6 利用iptables配置规则1.安装iptablesiptables相关文件: /etc/rc.d/init.d/iptables /启动脚本 /usr/sbin/iptables /配置工具 /usr/sbin/iptables-save /保存规则到/etc/sysconfig/iptables文件中/usr/sbin/iptables-restore /恢复/etc/sysconfig/iptables文件中的规则LINUX路由器与防火墙2. iptab

13、les的语法 命令格式:iptables -t 表名 命令 链 规则号 条件 规则 说明: (1)-t 表名 指定规则所在的表。表名可以是filter ,nat ,mangleLINUX路由器与防火墙表种类:FILTER(默认) :包过滤NAT :地址转换MANGLE :QOSLINUX路由器与防火墙(2)命令 (iptables的子命令) -A 在指定链中添加规则 -D 在指定链中删除指定规则 -R 修改指定链中指定规则 -I 在指定规则前插入规则 -L 显示链中的规则 -N 建立用户自定义链LINUX路由器与防火墙 -F 清空链中的规则 -X 删除用户自定义链 -P 为链设置默认规则 -C

14、 检查给定的包是否与指定链的规则相匹配 -h 显示帮助信息LINUX路由器与防火墙(3)链INPUT /数据源来自外部且目的地址为本机时OUTPUT /数据源来自本机或内部网且要发往外部系统时FORWARD /数据源来自外部系统且要发往外部系统时POSTROUTING /对出去的数据包进行路由选择PREROUTING /对进来的数据包进行路由选择用户自定义链LINUX路由器与防火墙注:FILTER: INPUT 、OUTPUT 、FORWARDNAT: OUTPUT、POSTROUTING 、PREROUTINGMANGLE : PREROUTING 、OUTPUT、INPUT 、 POSTROUTING、 FORWARDLINUX路由器与防火墙(4)规则匹配条件-p ! 协议名 /指定匹配的协议 (tcp , udp , icmp , all )-s ! ip地址/mask /指定匹配的源地址-sport ! 端口号 :端口号 /指定匹配的源端口或范围-d ! ip地址 /mask /指定匹配的目标地址-dport ! 端口号 :端口号 /指定匹配的目标端口或范围LINUX路由器与防火墙-icmp-type ! 类型号/类型名 -i 接口名 /指定接收数据包接口-o 接口名 /指定发送数据包接口/指定icmp包的类型注:8 表示request 0 表示rel

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号