欢迎来到天天文库
浏览记录
ID:62522166
大小:594.01 KB
页数:33页
时间:2021-05-12
《[精选]第05章Linux透明代理服务器.pptx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、Linux安全的透明代理服务器iptables+squid1.Iptables和Squid简介IptablesSquid是一种在Linux系统下使用的优秀的代理服务器软件Squid是一个高性能的代理缓存服务器,可以加快内部网浏览Internet的速度,提高客户机的访问命中率1.Iptables和Squid简介Squid不仅支持HTTP协议,还支持FTP、gopher、SSL和WAIS等协议Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求Squid由一个主要的服务程序Squid,一个DNS查询程序dnsserver,几个重写请求和执行认证的程序
2、,以及几个管理工具组成1.Iptables和Squid简介Squid启动以后,它可以派生出指定数目的dnsserver进程,而每一个dnsserver进程都可以执行单独的DNS查询,这样一来就大大减少了服务器等待DNS查询的时间1.Iptables和Squid简介Squid使用访问控制清单(ACL)和访问权限清单(ARL)访问控制清单和访问权限清单通过阻止特定的网络连接来减少潜在的Internet非法连接,可以使用这些清单来确保内部网的主机无法访问有威胁的或不适宜的站点2.1项目背景实验背景XX公司内部搭建了web服务器和FTP服务器,为了满足公司需求,要求使用Lin
3、ux构建安全、可靠的防火墙。具体要求如下:防火墙自身要求安全、可靠,不允许网络中任何人访问;防火墙出问题,只允许在防火墙主机上进行操作2.1项目背景公司内部的web服务器要求通过地址映射发布出去,且只允许外部网络用户访问web服务器的80端口,而且通过有效的DNS注册公司内部的员工必须通过防火墙才能访问内部的web服务器,不允许直接访问2.1项目背景FTP服务器只对公司内部用户起作用,且只允许内部用户访问FTP服务器的21和20端口,不允许外部网络用户访问公司内部的员工要求通过透明代理上网(不需要在客户机浏览器上做任何设置,就可以上网)内部用户所有的IP地址必须通过N
4、AT转换之后才能够访问外网2.2项目拓扑实验拓扑2.3项目原理实验原理:iptables默认具有5条规则链:PREROUTINGPOSTROUTINGFORWARDINPUTOUTPUT2.3项目原理iptables默认的规则表以及对应的规则链:filter:INPUT、FORWARD和OUTPUTnat:PREROUTING、POSTROUTING和OUTPUTmangle:PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD2.3项目原理nat表的主要用处是网络地址转换,即NetworkAddressTranslation属于一个
5、流的包只会经过这个表一次PREROUTING链的作用是在包刚刚到达防火墙时改变它的目的地址OUTPUT链改变本地产生的包的目的地址POSTROUTING链在包就要离开防火墙之前改变其源地址2.3项目原理mangle表主要用来mangle数据包我们可以改变不同的包及包头的内容,比如TTL,TOS或MARKMARK并没有真正地改动数据包,它只是在内核空间为包设了一个标记防火墙内的其他的规则或程序(如tc)可以使用这种标记对包进行过滤或高级路由2.3项目原理PREROUTING在包进入防火墙之后、路由判断之前改变包POSTROUTING是在所有路由判断之后OUTPUT在确定
6、包的目的之前更改数据包INPUT在包被路由到本地之后,但在用户空间的程序看到它之前改变包FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包2.3项目原理filter表是专门过滤包的,内建三个链FORWARD链过滤所有不是本地产生的并且目的地不是本地(所谓本地就是防火墙了)的包INPUT针对那些目的地是本地的包OUTPUT是用来过滤所有本地生成的包的2.3项目原理3.1项目总体设计实验思想:先将进出防火墙的策略设置到最严格,然后一步步添加需要放行的策略3.2Iptables的设置Linux下iptables的具体设置:清空filter表和nat表
7、中的配置策略iptables-F(INPUTOUTPUTFORWARD),不加参数,表示全部清除iptables-F(PREROUTING、POSTROUING、OUTPUT)–tnat,不跟参数,表示全部清除删除表中的自定义规则链:iptables-X<自定义规则链名1、链名2....>指定链的所有计数器归零:iptables-Z(INPUTOUTPUTFORWARD)3.2Iptables的设置放行filter表的默认OUTPUT链,阻止FORWARD链和INPUT链全部放行nat表中的PREROUTING链、POSTROUTING链以及OUTP
此文档下载收益归作者所有
![[精选]第05章Linux透明代理服务器.pptx_第1页](https://f25.wenku365.com/file-convert/2021/07/27/22/14/32a74f30e6b3ddd38fe2d917a830d117/img/1.jpg)
![[精选]第05章Linux透明代理服务器.pptx_第2页](https://f25.wenku365.com/file-convert/2021/07/27/22/14/32a74f30e6b3ddd38fe2d917a830d117/img/2.jpg)
![[精选]第05章Linux透明代理服务器.pptx_第3页](https://f25.wenku365.com/file-convert/2021/07/27/22/14/32a74f30e6b3ddd38fe2d917a830d117/img/3.jpg)
![[精选]第05章Linux透明代理服务器.pptx_第4页](https://f25.wenku365.com/file-convert/2021/07/27/22/14/32a74f30e6b3ddd38fe2d917a830d117/img/4.jpg)
![[精选]第05章Linux透明代理服务器.pptx_第5页](https://f25.wenku365.com/file-convert/2021/07/27/22/14/32a74f30e6b3ddd38fe2d917a830d117/img/5.jpg)
