第一篇：linux網(wǎng)關(guān)及安全應(yīng)用-第3章(配置iptables防火墻二)理論課教案-焦可偉

《linux網(wǎng)關(guān)及安全應(yīng)用》理論課教案 第3章（配置iptables防火墻二)《linux網(wǎng)關(guān)及安全應(yīng)用》理論課教案..........................................................................................1

一.課程回顧.......................................................................................................................1 二.本章工作任務(wù)(問題列表)...................................................................................................1 三.本章技能目標......................................................................................................................2 四.本章重點難點......................................................................................................................2

4.1課程重點.....................................................................................................................2 4.2課程難點.....................................................................................................................2 五.整章授課思路 [100分鐘]..................................................................................................2

5.1本章授課思路：.........................................................................................................2 5.2預(yù)習檢查、任務(wù)、目標部分 [10分鐘]...................................................................2 5.3 技能點講解[80分鐘]................................................................................................3 5.4 總結(jié)

[6分鐘] 采用提問方式，注意引導(dǎo)學員回答重點即可！........................7 六.布置作業(yè)：[4 分鐘].........................................................................................................8

6.1本章作業(yè).....................................................................................................................8 6.2 作業(yè)的提交方式與要求............................................................................................8 6.3 課后習題答案............................................................................................................8 七．習題...........................................................................................................................8 課時：2學時 授課人：焦可偉

一.課程回顧

1.iptables與netfilter的作用及區(qū)別是什么？ 2.iptables命令的語法格式包括哪些組成部分？

3.若設(shè)置iptables規(guī)則時未指定表名，默認使用哪個表？ 4.設(shè)置顯式匹配條件時，需要注意什么？ 5.防火墻對數(shù)據(jù)包的常見處理方式包括哪些？

二.本章工作任務(wù)(問題列表)1.公司使用Linux系統(tǒng)作為網(wǎng)關(guān)服務(wù)器，應(yīng)如何設(shè)置才能使局域網(wǎng)用戶接入Internet？ 2.公司申請的唯一公網(wǎng)IP地址已被Linux網(wǎng)關(guān)服務(wù)器使用，而網(wǎng)站服務(wù)器在局域網(wǎng)內(nèi)的另一臺機器，在網(wǎng)關(guān)上應(yīng)如何配置才能讓Internet上的客戶端訪問該網(wǎng)站服務(wù)器？

3.在網(wǎng)關(guān)服務(wù)器上應(yīng)做哪些設(shè)置，以便在家里也能通過Internet遠程管理公司內(nèi)部的服務(wù)器？ 4.在Linux網(wǎng)關(guān)服務(wù)器上，如何限制內(nèi)網(wǎng)用戶使用QQ、MSN以及BT下載等？

三.本章技能目標

? 會使用SNAT策略配置共享上網(wǎng)

? 會使用DNAT策略發(fā)布企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù) ? 會為Linux防火墻增加應(yīng)用層過濾功能

四.本章重點難點 4.1課程重點

? SNAT策略及其應(yīng)用 ? DNAT策略及其應(yīng)用 ? 使用Layer7應(yīng)用層過濾

4.2課程難點

? SNAT的原理 ? DNAT的原理 ? 重新編譯Linux內(nèi)核

(強調(diào)：這個知識點即是重點也是難點，需要在課上強調(diào))五.整章授課思路 [100分鐘] 5.1本章授課思路：

本章主要以案例的形式講述iptables防火墻的幾種典型企業(yè)應(yīng)用：(1)、局域網(wǎng)共享上網(wǎng)；(2)、Internet中發(fā)布內(nèi)網(wǎng)服務(wù)器；(3)、使用Layer7應(yīng)用層過濾策略封鎖QQ、MSN、BT等應(yīng)用。

先講解原理，再演示案例。章節(jié)內(nèi)容共分三個小節(jié)。

5.2預(yù)習檢查、任務(wù)、目標部分 [10分鐘] 1)預(yù)習檢查：(2分鐘)? Iptables的典型應(yīng)用有哪些？ ? 什么是SNAT ? 什么是DNAT ? Linux內(nèi)核編譯的概念 2）技能目標講解：(4分鐘)(一)會使用SNAT策略配置共享上網(wǎng)

(二)會使用DNAT策略發(fā)布企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)(三)會為Linux防火墻增加應(yīng)用層過濾功能 3)課程結(jié)構(gòu)：(4分鐘)

5.3 技能點講解[80分鐘] 1)SNAT策略及應(yīng)用 [20分鐘] a)引入：介紹企業(yè)局域網(wǎng)接入Internet的需求，來引出iptables的應(yīng)用SNAT。b)講解要點：

SNAT策略的應(yīng)用環(huán)境（通過SNAT實現(xiàn)共享上網(wǎng)）

SNAT策略的原理 通過SNAT實現(xiàn)MASQUERADE（IP地址偽裝），主要強調(diào)在整個過程中，數(shù)據(jù)包在數(shù)據(jù)流中的變化。

重點是MASQUERADE的作用和特點。SNAT策略的應(yīng)用

SNAT典型應(yīng)用于局域網(wǎng)共享上網(wǎng)的接入，而處理數(shù)據(jù)包的切入時機，主要選擇在路由選擇之后(POSTROUTING)進行。

SNAT的關(guān)鍵在于將局域網(wǎng)外發(fā)數(shù)據(jù)包的源IP地址(私有地址)修改為網(wǎng)關(guān)的外網(wǎng)接口IP地址(公網(wǎng)地址)。

SNAT只能用于NAT表的POSTROUTING鏈。網(wǎng)關(guān)使用動態(tài)公網(wǎng)IP地址的情況

如果是通過ADSL撥號方式連接Internet，則外網(wǎng)接口名稱通常為 ppp0、ppp1等 c)課堂案例： 案例一：SNAT應(yīng)用

iptables-t nat-A POSTROUTING-s 192.168.1.0/24

-o eth0-j SNAT--to-source 218.29.30.31 案例二：網(wǎng)關(guān)使用動態(tài)公網(wǎng)IP地址的情況

2)DNAT策略及應(yīng)用[20分鐘] a)引入：介紹在Internet中發(fā)布內(nèi)網(wǎng)應(yīng)用服務(wù)器的需求，引出DNAT的應(yīng)用。b)講解要點： DNAT策略的應(yīng)用環(huán)境

在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務(wù)器。DNAT策略的原理

目標地址轉(zhuǎn)換，Destination Network Address Translation； 修改數(shù)據(jù)包的目標IP地址； DNAT策略的應(yīng)用

通過DNAT策略同時修改目標端口號 使用形式：

只需要在“--to-destination”后的目標IP地址后面增加“:端口號”即可，即：

-j DNAT--to-destination 目標IP:目標端口 c)課堂案例： 案例一：DNAT策略應(yīng)用

iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6

案例二：通過DNAT策略同時修改目標端口號

d)小結(jié)

采用提問方式，注意引導(dǎo)學員回答重點即可！

1.SNAT策略的核心用途是什么？

SNAT：修改數(shù)據(jù)包源地址 2.DNAT策略的核心用途是什么？

DNAT：修改數(shù)據(jù)包目標地址、目標端口 3.SNAT、DNAT策略在企業(yè)中包括哪些典型應(yīng)用？

SNAT典型應(yīng)用 —— 實現(xiàn)局域網(wǎng)用戶共享單個公網(wǎng)IP地址接入Internet DNAT典型應(yīng)用 —— 在Internet中發(fā)布局域網(wǎng)內(nèi)的應(yīng)用服務(wù)器（如網(wǎng)站、郵件等）4.如果企業(yè)的網(wǎng)關(guān)主機通過ADSL動態(tài)地址接入Internet網(wǎng)絡(luò)，應(yīng)如何設(shè)置共享上網(wǎng)策略？

公網(wǎng)IP地址為動態(tài)獲取時，建議采用MASQUERADE策略代替SNAT策略，這樣無需指定固定的轉(zhuǎn)換IP地址

3)使用Layer7應(yīng)用層過濾功能 [30分鐘] a)引入：通過介紹現(xiàn)有iptables防火墻體系的不足，引出使用內(nèi)核及防火墻擴展補丁的必要性。

iptables防火墻是基于內(nèi)核中的netfilter機制的，因此增加應(yīng)用層過濾功能通常需要對內(nèi)核、iptables同時打補丁。b)講解要點：

使用Layer7應(yīng)用層過濾功能 默認 netfilter/iptables 體系的不足：

? 以基于網(wǎng)絡(luò)層的數(shù)據(jù)包過濾機制為主，同時提供少量的傳輸層、數(shù)據(jù)鏈路層的過濾功能

? 難以判斷數(shù)據(jù)包對應(yīng)于何種應(yīng)用程序（如QQ、MSN）整體實現(xiàn)過程：

1.添加內(nèi)核補丁，重新編譯內(nèi)核，并以新內(nèi)核引導(dǎo)系統(tǒng) 2.添加iptables補丁，重新編譯安裝iptables 3.安裝l7-protocols協(xié)議定義包

4.使用iptables命令設(shè)置應(yīng)用層過濾規(guī)則 重新編譯新內(nèi)核

1.釋放內(nèi)核源碼包，并合并補丁 2.配置內(nèi)核編譯參數(shù)：make menuconfig 3.需要配置哪些內(nèi)核編譯參數(shù)

4.重新編譯新內(nèi)核：make-->make modules_install-->make install 重新編譯安裝iptables工具 1.先卸載原有的iptables軟件包

2.合并補丁，并編譯安裝新的iptables工具 安裝L7-protocols協(xié)議定義包

解包后直接執(zhí)行“make install”命令即可 設(shè)置應(yīng)用層過濾規(guī)則

? 匹配格式：-m layer7--l7proto 協(xié)議名 ? 協(xié)議定義文件位于：/etc/l7-protocols/protocols ? 支持以下常見應(yīng)用層協(xié)議的過濾

? qq：騰訊公司QQ程序的通訊協(xié)議

? msnmessenger：微軟公司MSN程序的通訊協(xié)議 ? msn-filetransfer：MSN程序的文件傳輸協(xié)議 ? bittorrent：BT下載類軟件使用的通訊協(xié)議 ? xunlei：迅雷下載工具使用的通訊協(xié)議 ? edonkey：電驢下載工具使用的通訊協(xié)議 其他各種應(yīng)用層協(xié)議：ftp、http、dns、imap、pop3?? ? 規(guī)則示例：過濾使用qq協(xié)議的轉(zhuǎn)發(fā)數(shù)據(jù)包

iptables-A FORWARD-m layer7--l7proto qq-j DROP 5.4 總結(jié)

[6分鐘] 采用提問方式，注意引導(dǎo)學員回答重點即可！

提問：

(一)通過SNAT策略實現(xiàn)共享上網(wǎng)應(yīng)用時，需要將內(nèi)網(wǎng)訪問Internet數(shù)據(jù)包的源IP地址修改為哪個地址？

(二)通過DNAT策略發(fā)布內(nèi)網(wǎng)服務(wù)器時，主要針對訪問哪個IP地址的數(shù)據(jù)包修改其目標地址？

(三)重新編譯Linux內(nèi)核時，執(zhí)行“make menuconfig”步驟后建立的配置文件名稱是什么（.config）？

六.布置作業(yè)：[4 分鐘] 6.1本章作業(yè)

a)課后選擇題：P77 b)課后簡答題：P81 題1、2、3、4、5 c)抄寫和背誦本章單詞列表 d)完成本章實驗案例

一、案例二

6.2 作業(yè)的提交方式與要求

a)課后選擇題：把答案寫在課本上

b)課后簡答題：作業(yè)寫在作業(yè)本上，下次上課提交 c)抄寫和背誦本章單詞列表：寫在作業(yè)本上，至少5遍 d)完成本章實驗案例一和案例二：提交實驗報告

6.3 課后習題答案

1.2.3.4.5.B D CD BD AC 七．習題

1． 公司的網(wǎng)關(guān)服務(wù)器使用了Linux操作系統(tǒng)。網(wǎng)關(guān)上有兩塊網(wǎng)卡：其中eth0連接Internet，使用固定IP地址218.29.30.31/30；eth1連接局域網(wǎng)，使用固定IP地址192.168.1.1/24，局域網(wǎng)內(nèi)各主機的默認網(wǎng)關(guān)設(shè)置為192.168.1.1，且已經(jīng)設(shè)置了正確的DNS服務(wù)器，現(xiàn)需要在Linux網(wǎng)關(guān)主機中進行正確配置，以使192.168.1.0/24網(wǎng)段的局域網(wǎng)用戶能夠通過共享方式訪問Internet。可以使用()A.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 B.iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 C.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j SNAT--to-source 218.29.30.31 D.iptables-t nat-A PREROUTING-s 192.168.1.0/24-o eth0-j DNAT--to-source 218.29.30.31 正確答案：A 考點：配置SNAT策略實現(xiàn)局域網(wǎng)共享上網(wǎng)

[★★★] 2． 公司在ISP注冊了域名004km.cn，并對應(yīng)于Linux網(wǎng)關(guān)的外網(wǎng)接口（eth0）地址：218.29.30.31，公司的網(wǎng)站服務(wù)器位于局域網(wǎng)內(nèi)，IP地址為192.168.1.6，Internet用戶可以通過訪問004km.cn來查看公司的網(wǎng)站內(nèi)容?？梢?)A.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 B.iptables-t nat-A PREROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 C.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j DNAT--to-destination 192.168.1.6 D.iptables-t nat-A POSTROUTING-i eth0-d 218.29.30.31-p tcp--dport 80-j SNAT--to-destination 192.168.1.6 正確答案：B 考點：配置DNAT策略發(fā)布內(nèi)網(wǎng)的應(yīng)用服務(wù)

[★★★] 3． 在對linux內(nèi)核進行重新編譯配置時，在字符界面下進入源碼目錄后，執(zhí)行什么命令打開配置界面。A.make B.makeconfig C.make menuconfig D.menuconfig 正確答案：C 考點：通過重編譯內(nèi)核為防火墻添加應(yīng)用層過濾功能

[★★]