Linux防火牆與NAT架設 2013/02/03.

Slides:



Advertisements
Similar presentations
维普考试服务平台使用指南. 资源与应用的有机整合 资源与应用并举。 职业资格考试、高校课 程试题、在线考试、移 动应用 4 个模块。 在线考试与系统题库资 源的完美整合。 1 多模块 2 在线考试 3 移动端 移动端的资源复用。
Advertisements

维普考试服务平台使用指南. 维普考试服务平台 维普考试服务平台是一个从单纯 海量题库资源扩充到教学场景应 用的考试信息化产品。平台包含 职业资格考试、高校课程试题、 在线考试、 移动助手 4 个功能模 块。 产品概述.
支援不同網際網路供應商路由 之線路備援機制 黃政欽 育達商業技術學院資管研究所
ChinaUNIX 技术沙龙 iptables 基础及模块高级应用 marsaber 西安.
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
求职信.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
天津1班面试专项练习1 综合分析现象类 主讲:凌宇 时间:5月21日 19:00—22:00.
华特汽车配件有限公司网络改造解决方案 班级:网络技术-1101 答辩人:丁奇志 指导老师:欧阳炜昊.
户 外 拓 展 游 戏 大 全(二) 资料整理:丁 丁.
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
维普考试服务平台使用指南.
龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.
课堂模式——变与不变 庐阳区教研室 李玲玲 2015年3月.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
蚁族俱乐部 —敢于挑战,永不言弃,友谊与事业并存!.
用“自言自语法”提高学生 英语口头表达能力 李奉栖.
第十三章 银行法律制度 银行法是金融法律体系中的核心,是国家进行宏观调控的重要法律。本章结合我国银行法的法律规定,阐述了中国人民银行的性质和法律地位、中国人民银行的职能、中国人民银行的货币政策与货币政策工具;阐述了商业银行的经营原则、商业银行的设立和组织机构和商业银行的业务等内容.
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
計畫主持人:謝麗華、諶亦聰、李侃諭 協同主持人:國語、數學、英語、社會、 自然領域輔導團 計畫執行:專業發展組北投國小
2014年重点行业分析及新思路、信模式 北京立金银行培训中心
跳楼价 亏本大甩卖 清仓处理 买一送一 5折酬宾. 跳楼价 亏本大甩卖 清仓处理 买一送一 5折酬宾.
清仓处理 跳楼价 满200返160 5折酬宾.
第10章 局域网与Internet互联 RCNA_T010.
数据转发过程.
研究方向: 多媒体环境下课堂教学模式研究.
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
NetGuru 創新 網路通訊實驗教學解決方案 PART I TCP/IP通訊協定深入剖析/以NetGuru實作
Netman Linux 的防火牆設計與應用 Netman
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
前言.
网络地址转换(NAT) 及其实现.
《以教师专业发展促进数字校园建设的实践研究》
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
文档维护者:白金(platinum)、陈绪(bjchenxu)
網路指令 講師 : 郭育倫
5.5 网桥 网桥是用来连接局域网的互连设备,工作在数据链路层。 转发局域网之间的数据帧,必要时进行帧格式转换 能隔离以太网中的碰撞
Core Switch 設定 Port的開啟與關閉 Virtual LAN建立 將Port指定到Virtual LAN
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
北市學生生涯輔導紀錄數位化 行政端之運用
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
NetFilter IPTables.
P2P通信之 ——UDP穿越NAT方案的讨论
ARP, RARP & ICMP.
基 礎 網 路 管 理 台東大學電算中心 郭俊賢 技術師.
第 2 章 TCP / IP 簡介.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
江西财经大学信息管理学院 《组网技术》课程组
新一代无盘技术 在图书馆电子阅览室的应用 报告人:张智翔 /4/9.
Wireshark DNS&HTTP封包分析
實驗23 NetSim - Network Address Translation (NAT)
防火墙.
谢聪.
第七章  事业单位支出的核算      §第一节  支出概述     §第二节  拨出款项     §第三节  各项支出     §第四节  成本费用.
校园常见网络管理设备 2018年 5月4日 南京市玄武中等专业学校 陈华
_01基本概念扫盲 本节课讲师——void* 视频提供:昆山爱达人信息技术有限公司 官网地址:
講員:游文志 排程系統教育訓練 後台管理系統 講員:游文志
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
Chapter 11 使用者資料包通訊協定.
詳細說明.
IP Layer Basics, Firewall, VPN, and NAT
第10讲 Web服务.
IP Layer Basics & Firewall
Homework 3.
天翼云3.0产品介绍 2018/4/24.
Presentation transcript:

Linux防火牆與NAT架設 2013/02/03

iptables架構 iptables是網路封包的過濾器,內部預設由三個鏈(chain)來 定義與控制經過的封包規則。分別為: filter: 主要用於本機的封包過濾規則。 nat: 用於來源與目的IP與port轉換,可 用來架設NAT環境。 mangle: 用來變換通過的封包標頭, 通常搭配nat一起使用。

iptables封包處理流程 – 1/2 iptables內部的三個chain對於封包的處理總共會有五個檢 查點: 檢查點 封包狀態 FORWARD 僅經過本機的封包(由一個介面卡進來,再從另一個出去的封包)。 INPUT 遞給本機行程(process)的封包。 OUTPUT 由本機行程送出的封包。 POSTROUTING 即將從網路介面離開的封包。 PREROUTING 剛從網路介面收進的封包。

iptables封包處理流程 – 2/2 封包處理流程圖 PREROUTING INPUT Process FORWARD OUTPUT mangle nat INPUT mangle filter eth* Process FORWARD mangle filter OUTPUT mangle nat filter POSTROUTING mangle nat eth# Process

iptables基本指令 – 1/2 觀察iptables規則 清除iptables規則 將流量統計歸零 各規則的流量統計 ~# iptables -L -n ~# iptables -L -n -v -x ~# iptables -X -F ~# iptables -Z

iptables基本指令 – 2/2 設定filter的預設Policy為ACCPET或DROP 設定收到封包的policy ~# iptables -P INPUT [DROP|ACCEPT] ~# iptables -P INPUT [DROP|ACCEPT] ~# iptables -P INPUT [DROP|ACCEPT]

進階封包規則實例 – 1/2 增補(Append)一條規則,允許介面卡lo收到任何 封包(參數:-A, -D, -i, -j) -s 來源IP, -d 目的IP, --sport 來源port, --dport 目的port ~# iptables -A INPUT -i lo –j ACCEPT // -A [檢查點] –i [介面卡] -j [封包規則] ~# iptables -A INPUT -i lo -p tcp -s 192.168.1.0/24 --dport 80 –j ACCEPT // -p [網路協定] -s 來源IP --dport目的port。 // 接受開頭為192.168.1的IP,想要連到port 80的TCP封包。

進階封包規則實例 – 2/2 以MAC address作為過濾規則(-m mac) 以連線狀態作為過濾規則(-m state) ~# iptables -A INPUT -m mac --mac-source aa:bb:cc:99:88:77 -j DROP // 禁止特定網路卡卡號送來的封包 ~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT // 允許本雞主動建立連線(ESTABLISHED) 的封包。

小練習01 – 簡易防火牆 (1) 試著設定一個防火牆規則,阻擋所有的 INPUT封包。 (2) 允許port 80, port 22的INPUT封包。 (3) 允許icmp協定的封包。(提示:-p參數)

NAT簡介 – 1/3 (網路位址轉換,NAT,Network Address Translation) 一種IP封包通過路由器或防火牆時,重寫來源IP或目的 IP的技術,普遍用於將多台客戶端電腦使用同一個IP位 址上網的區域網路環境。 實際例子:IP分享器(虛擬IP:192.168.x.x)。

NAT簡介 – 2/3 NAT運作原理 NAT伺服器在內部會維護一個表格(NAT table),紀錄內網與外網 連線的通訊埠之對應關係。例如: 內網IP NAT Port 外網IP 192.168.1.1 : 5566 5566 140.112.72.172 : 23 192.168.1.2 : 7788 7788 74.125.134.90 : 22 … 192.168.1.3 : 80 8080 * : * 192.168.1.4 : 3306 9900

NAT簡介 – 3/3 NAT伺服器依照其功能可分為: 來源網路位址轉換(Source NAT) 用來使位於NAT後方區域網路中的電腦可透過修改封包中的 來源位址連上Internet中的其他伺服器。 目的網路位址轉換(Destination NAT) 用來使Internet中的其他伺服器,能夠透過NAT伺服器修改封 包中的目的位址,連到NAT伺服器後方區域網路中的電腦。

NAT實例圖 (1) 內網伺服器 (2) 內網PC透過NAT上網 (3) 本機通訊埠轉換 192.168.1.3:80 eth1 eth0 192.168.1.3:80 90.90.90.90:8080 eth1 eth0 192.168.1.3:xx 192.168.1.0:yy 90.90.90.90:zz 90.90.90.90:8080 90.90.90.90:80

1. 本機通訊埠轉換範例 將送入本機行程之前的封包,導引(REDIRECT)到 另一個通訊埠 重點: A. 需指定使用nat鏈 (投影片第五頁) B. 檢查點為封包進入前的PREROUTING C. 使用子參數--to-ports [port#] 置於-j REDIRECT之後 ~# iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-pors 80 // 將連入本機port 8080的封包導引至 port 80

2. 架設NAT Server (1) 開啟封包轉送功能 (2) SNAT – 讓內部電腦可上網 (3) DNAT – 讓外部電腦可連到內部的網頁伺服器 echo "1" > /proc/sys/net/ipv4/ip_forward ~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ~# iptables -t nat -A PREROUTING -i eth0 –p tcp --dport 8080 -j DNAT --to 192.168.56.102:80

儲存/載入已設定的iptables規則 使用I/O重導向,儲存已設定的iptables參數。 要讓iptables在下次開機時自動設定,可以將 iptables.rule放在/etc資料夾,然後在開機時使用 /etc/rc.local載入來呼叫。 ~# iptables-save > /etc/iptables.rule Notes: iptables-save 中有很多註解,可再進一步修改。