《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟》由会员分享,可在线阅读,更多相关《linux网关及安全应用-第3章(配置iptables防火墙二)理论课教案-焦可伟(10页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页linux网关及安全应用理论课教案第3章(配置iptables防火墙二)linux网关及安全应用理论课教案1一.课程回顾1二.本章工作任务(问题列表)1三.本章技能目标2四.本章重点难点24.1课程重点24.2课程难点2五.整章授课思路 100分钟25.1本章授课思路:25.2预习检查、任务、目标部分 10分钟25.3 技能点讲解80分钟35.4 总结 6分钟 采用提问方式,注意引导学员回答重点即可!7六. 布置作业:4 分钟86.1本章作业86.2 作业的提交方式与要求86.3 课后习题答案8七习题8课时:2学时
2、授课人:焦可伟一. 课程回顾1. iptables与netfilter的作用及区别是什么?2. iptables命令的语法格式包括哪些组成部分?3. 若设置iptables规则时未指定表名,默认使用哪个表?4. 设置显式匹配条件时,需要注意什么?5. 防火墙对数据包的常见处理方式包括哪些?二.本章工作任务(问题列表)1. 公司使用Linux系统作为网关服务器,应如何设置才能使局域网用户接入Internet?2. 公司申请的唯一公网IP地址已被Linux网关服务器使用,而网站服务器在局域网内的另一台机器,在网关上应如何配置才能让Internet上的客户端访问该网站服务器?3. 在网关服务器上应做
3、哪些设置,以便在家里也能通过Internet远程管理公司内部的服务器?4. 在Linux网关服务器上,如何限制内网用户使用QQ、MSN以及BT下载等?三.本章技能目标q 会使用SNAT策略配置共享上网q 会使用DNAT策略发布企业内网的应用服务q 会为Linux防火墙增加应用层过滤功能四.本章重点难点4.1课程重点q SNAT策略及其应用q DNAT策略及其应用q 使用Layer7应用层过滤4.2课程难点q SNAT的原理q DNAT的原理q 重新编译Linux内核(强调:这个知识点即是重点也是难点,需要在课上强调)五.整章授课思路 100分钟5.1本章授课思路:本章主要以案例的形式讲述ipt
4、ables防火墙的几种典型企业应用:(1)、局域网共享上网;(2)、Internet中发布内网服务器;(3)、使用Layer7应用层过滤策略封锁QQ、MSN、BT等应用。先讲解原理,再演示案例。章节内容共分三个小节。5.2预习检查、任务、目标部分 10分钟1) 预习检查:(2分钟)n Iptables的典型应用有哪些?n 什么是SNATn 什么是DNATn Linux内核编译的概念2)技能目标讲解:(4分钟)(一) 会使用SNAT策略配置共享上网(二) 会使用DNAT策略发布企业内网的应用服务(三) 会为Linux防火墙增加应用层过滤功能3) 课程结构:(4分钟)5.3 技能点讲解80分钟1)
5、 SNAT策略及应用 20分钟a)引入:介绍企业局域网接入Internet的需求,来引出iptables的应用SNAT。b)讲解要点:SNAT策略的应用环境(通过SNAT实现共享上网)SNAT策略的原理通过SNAT实现MASQUERADE(IP地址伪装),主要强调在整个过程中,数据包在数据流中的变化。重点是MASQUERADE的作用和特点。SNAT策略的应用SNAT典型应用于局域网共享上网的接入,而处理数据包的切入时机,主要选择在路由选择之后(POSTROUTING)进行。SNAT的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网接口IP地址(公网地址)。SNAT只能用于NA
6、T表的POSTROUTING链。网关使用动态公网IP地址的情况如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为 ppp0、ppp1等c)课堂案例:案例一:SNAT应用iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT -to-source 218.29.30.31案例二:网关使用动态公网IP地址的情况2) DNAT策略及应用20分钟a)引入:介绍在Internet中发布内网应用服务器的需求,引出DNAT的应用。b)讲解要点:DNAT策略的应用环境在Internet中发布位于企业局域网内的服务器。D
7、NAT策略的原理目标地址转换,Destination Network Address Translation;修改数据包的目标IP地址;DNAT策略的应用通过DNAT策略同时修改目标端口号使用形式:只需要在“-to-destination”后的目标IP地址后面增加“:端口号”即可,即: -j DNAT -to-destination 目标IP:目标端口c)课堂案例:案例一:DNAT策略应用iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp -dport 80 -j DNAT -to-destination 192.168.1
8、.6案例二:通过DNAT策略同时修改目标端口号d)小结 采用提问方式,注意引导学员回答重点即可!1. SNAT策略的核心用途是什么?SNAT:修改数据包源地址2. DNAT策略的核心用途是什么?DNAT:修改数据包目标地址、目标端口3. SNAT、DNAT策略在企业中包括哪些典型应用?SNAT典型应用 实现局域网用户共享单个公网IP地址接入InternetDNAT典型应用 在Internet中发布局域网内的应用服务器(如网站、邮件等)4. 如果企业的网关主机通过ADSL动态地址接入Internet网络,应如何设置共享上网策略?公网IP地址为动态获取时,建议采用MASQUERADE策略代替SNA
9、T策略,这样无需指定固定的转换IP地址3) 使用Layer7应用层过滤功能 30分钟a)引入:通过介绍现有iptables防火墙体系的不足,引出使用内核及防火墙扩展补丁的必要性。iptables防火墙是基于内核中的netfilter机制的,因此增加应用层过滤功能通常需要对内核、iptables同时打补丁。b)讲解要点:使用Layer7应用层过滤功能默认 netfilter/iptables 体系的不足:q 以基于网络层的数据包过滤机制为主,同时提供少量的传输层、数据链路层的过滤功能q 难以判断数据包对应于何种应用程序(如QQ、MSN)整体实现过程:1. 添加内核补丁,重新编译内核,并以新内核引
10、导系统2. 添加iptables补丁,重新编译安装iptables3. 安装l7-protocols协议定义包4. 使用iptables命令设置应用层过滤规则重新编译新内核1. 释放内核源码包,并合并补丁2. 配置内核编译参数:make menuconfig3. 需要配置哪些内核编译参数4. 重新编译新内核:make-make modules_install-make install重新编译安装iptables工具1. 先卸载原有的iptables软件包2. 合并补丁,并编译安装新的iptables工具安装L7-protocols协议定义包解包后直接执行“make install”命令即可设置
11、应用层过滤规则q 匹配格式:-m layer7 -l7proto 协议名q 协议定义文件位于:/etc/l7-protocols/protocolsq 支持以下常见应用层协议的过滤q qq:腾讯公司QQ程序的通讯协议q msnmessenger:微软公司MSN程序的通讯协议q msn-filetransfer:MSN程序的文件传输协议q bittorrent:BT下载类软件使用的通讯协议q xunlei:迅雷下载工具使用的通讯协议q edonkey:电驴下载工具使用的通讯协议其他各种应用层协议:ftp、http、dns、imap、pop3q 规则示例:过滤使用qq协议的转发数据包 iptabl
12、es -A FORWARD -m layer7 -l7proto qq -j DROP5.4 总结 6分钟 采用提问方式,注意引导学员回答重点即可!提问:(一) 通过SNAT策略实现共享上网应用时,需要将内网访问Internet数据包的源IP地址修改为哪个地址?(二) 通过DNAT策略发布内网服务器时,主要针对访问哪个IP地址的数据包修改其目标地址?(三) 重新编译Linux内核时,执行“make menuconfig”步骤后建立的配置文件名称是什么(.config)?六. 布置作业:4 分钟6.1本章作业a)课后选择题:P77b)课后简答题:P81 题1、2、3、4、5c)抄写和背诵本章单词
13、列表d)完成本章实验案例一、案例二6.2 作业的提交方式与要求a)课后选择题:把答案写在课本上b)课后简答题:作业写在作业本上,下次上课提交c)抄写和背诵本章单词列表:写在作业本上,至少5遍d)完成本章实验案例一和案例二:提交实验报告6.3 课后习题答案1. B2. D3. CD4. BD5. AC七 习题1 公司的网关服务器使用了Linux操作系统。网关上有两块网卡:其中eth0连接Internet,使用固定IP地址218.29.30.31/30;eth1连接局域网,使用固定IP地址192.168.1.1/24,局域网内各主机的默认网关设置为192.168.1.1,且已经设置了正确的DNS服
14、务器,现需要在Linux网关主机中进行正确配置,以使192.168.1.0/24网段的局域网用户能够通过共享方式访问Internet。可以使用( )A. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT -to-source 218.29.30.31B. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j DNAT -to-source 218.29.30.31C. iptables -t nat -A PREROUTING -s 192.168.1.0/24 -o eth0 -j SNAT -to-source 218.29.30.31D. iptables -t nat -A PREROUTING -s 192.168.1.0/24 -o eth0 -j DNAT -to-source 218.29.30.31正确答案:A考点:配置SNAT策略实现局域网共享上网 2 公司在ISP注册了域名,并对应于Linux网关的外网接口(eth0)地址:218.29.30.31,公司的网站服务器位于局域网内,IP地址为192.168.1.6,Internet用户可以通过访问来查看公司的网站内容。可以( )A.
