Linux服务器配置实训教程 郝维联 chapter6新.pptVIP

机械工业出版社 中等职业教育“十一五”规划教材?电子商务专业 机械工业出版社 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 第六章项目5——配置iptables实现NAT和防火墙 【职业能力目标】 1）设置iptables架设NAT服务器，实现内部网用户访问Internet; 2）设置iptables控制网络访问，实现防火墙功能。 6.1关于iptables、NAT和防火墙的必要知识 iptables是集成在Linux系统中用于实现网络控制的防火墙软件 NAT（网络地址转换，Network Address Translator）技术是将私有IP转换为公网IP，使内部网用户能够访问Internet。 防火墙是指放置于安全网络和非安全网络之间的网络设备，使用防火墙可以提高受保护网络的安全性，同时又可以确保网络畅通。 6.1关于iptables、NAT和防火墙的必要知识 6.2任务1——配置iptables，实现通过NAT访问Internet 任务景境： 某企业已经组建了内部局域网，有网络用户150人。企业内部网络使用私有IP地址段为~55，子网掩码为。企业需要访问Internet，并向ISP申请了一条10M的以太网线路，并申请了4个公网IP，IP地址范围为29~32，子网掩码为。现在需要实现企业内部的所有用户都通过这条线路访问Internet。 6.2.1需求分析 本任务实际上是实现内部网络用户通过一条线路共享上网。 小型企业比较适合使用通过Linux系统的iptables设置NAT的方法实现Internet共享访问。 6.2.2 配置方案 在Linux服务器上安装、启动和配置iptables，实现NAT。 6.2.3 配置过程 1、将服务器连接到网络。 6.2.3 配置过程 2、设置网卡的IP地址 。 配置IP地址： [root@localhost ~]# ifconfig eth0 29 netmask [root@localhost ~]# ifconfig eth1 netmask 使网卡配置生效： [root@localhost ~]# ifconfig eth0 up [root@localhost ~]# ifconfig eth1 up 6.2.3 配置过程 3、设置系统的DNS的IP地址 。 修改配置文件/etc/resolv.conf ： nameserver 8 nameserver 8 6.2.3 配置过程 4、实现iptables的NAT功能。 （1）用下面方法检查是否安装了iptables。 （2）打开路由功能，即IP forward。 （3）使用ip forwarding功能。 （4）重新加载xinetd服务，以便使设置生效。 （5）运行iptables的NAT [root@localhost ~]# iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT --to 29 6.2.4 应用测试 1、服务器端验证 2、客户端配置和验证 6.3 任务2——配置iptables，实现防火墙功能 任务景境： 某企业在任务1中通过配置Linux服务器的iptables的NAT，已经实现了内部网用户通过一条租用线路共享访问Internet。现在还有如下需求： 企业有一台Web服务器，为提高安全性将其放置于内部网，ip地址为00，可供内部用户访问。现在需要提供外部网络的用户通过Internet访问该Web服务器。 为了避免来自Internet的ping攻击，需要禁止外网的ping，但允许内部网络使用ping测试网络连通性。 禁止某部门的三台计算机上网，IP地址范围为1~3。 限制对一些不健康网站的访问。 封闭一些病毒常用的端口。 企业不再另外购买防火墙，要求利用现有条件实现这些网络安全需求。 6.3.1 需求分析 利用Linux服务器的iptables的防火墙功能 。 6.3.2 配置方案 在Linux服务器配置iptables，实现网络安全管理。 6.3.3 配置过程 1、发布内部网络的Web服务器 2、禁止外部网的ping 3、禁止某些内部主机访问Internet 4、限制对某些不健康网站的访问 5、封闭一些病毒常用的端口 6.3.4 应用测试 1、发布内部服务器的验证 2、服务器端iptables防火墙配置的验证 6.4 拓展实验 某企业已经组建了内部局域网，有网络用户150人。企业内部网络使用私有IP地址段为~55，子网掩码为。企业需要访问Internet，并向ISP申请了一条2M的ADSL线路，ADSL连接只能设置自动获得公网IP。现在需要实现企业