1、任务单1WSUS服务器的安装2配置WSUS服务器3.利用组策略实现域WSUS更新4.3 Linux环境下的IPtablesn 南方某电子信息集团有限公司现有网络应用系统平台已基本搭建完成,恰当的防火墙软件来保证系统的安全是必不可少的一部分,在Linux平台下自带的包过滤防火墙可为应用系统的平稳运行提供保障,如何进行管理与配置是需要解决的一个问题。n IPTABLES集成到linux内核中,用户通过IPTABLES,可以对计算机的进出数据包进行过滤。通过IPTABLES命令设置规则,来把守计算机网络哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录(log)。主要包括配iptables链的基
2、本操作、配置基本的规则匹配、配置扩展的规则匹配等。序号 任务1主DNS服务器配置2反向DNS服务器的配置3辅助DNS服务器的配置4多域DNS服务器的配置5子域DNS服务器的配置 任务一:iptables链的基本操作n1.清除规则n(1)清除预设表filter中任何规则链中的规则。n#iptables-F n(2)清除预设表filter中使用者自定链中的规则。n#iptables-X n#iptables Zn2.配置链的默认策略n(1)首先允许任何包通过,然后再禁止有危险的包通过防火墙。n#iptables-P INPUT ACCEPTn#iptables-P OUTPUT ACCEPTn#i
3、ptables-P FORWARD ACCEPT n(2)首先禁止任何包通过,然后根据需要的服务允许特定的包通过防火墙。n#iptables-P INPUT DROP n#iptables-P OUTPUT DROP n#iptables-P FORWARD DROPn3.列出表/链中的任何规则,默认只列出filter表。n#iptables Ln4.向链中添加规则,下面的语句用于开放网络接口:n#iptables-A INPUT-i lo-j ACCEPTn#iptables-A OUTPUT-o lo-j ACCEPTn#iptables-A INPUT-i eth0-j ACEPTn#i
4、ptables-A OUTPUT-o eth1-j ACCEPTn#iptables-A FORWARD-i eth1-j ACCEPTn#iptables-A FORWARD-o eth1-j ACCEPTn5.使用者自定义链n#iptables-N customn#iptables-A custom-s 0/0-d 0/0-p icmp-j DROPn#iptables-A INPUT-s 0/0-d 0/0-j DROP任务二:配置基本的规则匹配n1.指定协议匹配n(1)匹配指定协议n#iptables-A INPUT-p tcpn(2)匹配指定协议之外的任何协议n#iptables-A
5、 INPUT-p!tcpn2.指定地址匹配n(1)指定匹配的主机n#iptables-A INPUT-s 192.168.0.18 n(2)指定匹配的网络n#iptables-A INPUT-s 192.168.2.0/24n(3)匹配指定主机之外的地址n#iptables-A FORWARD-s!192.168.0.19 n(4)匹配指定网络之外的网络n#iptables-A FORWARD-s!192.168.3.0/24 n3.指定网络接口匹配n(1)指定单一的网络接口匹配n#iptables-A INPUT-i eth0n#iptables-A FORWARD-o eth0n(2)指定
6、同类型的网络接口匹配n#iptables-A FORWARD-o ppp n4.指定端口匹配n(1)指定单一端口匹配n#iptables-A INPUT-p tcp-sport www n#iptables-A INPUT-p udp dport 53 n(2)匹配指定端口之外的端口n#iptables-A INPUT-p tcp dport!22 n(3)匹配端口范围n#iptables-A INPUT-p tcp sport 22:80n(4)匹配ICMP端口和ICMP类型n#iptables-A INOUT-p icmp icimp-type 8任务三:配置扩展的规则匹配n1.多端口匹配
7、n(1)匹配多个源端口n#iptables-A INPUT-p tcp-m multiport sport 22,53,80,110n(2)匹配多个目的端口n#iptables-A INPUT-p tcp-m multiport dpoort 22,53,80n(3)匹配多端口n#iptables-A INPUT-p tcp-m multiport port 22,53,80,110 n2.指定TCP匹配扩展n使用tcp-flags 选项能够根据tcp包的标志位进行过滤n#iptables-A INPUT-p tcp tcp-flags SYN,FIN,ACK SYN n#iptables-A
8、 FROWARD-p tcp tcp-flags ALL SYN,ACK n上实例中第一个表示SYN、ACK、FIN的标志都检查,但是只有SYN匹配。第二个表示ALL(SYN,ACK,FIN,RST,URG,PSH)的标志都检查,但是只有配置了SYN和ACK的匹配。n#iptables-A FORWARD-p tcp-syn n选项-syn相当于“-tcp-flags SYN,RST,ACK SYN”的简写。n3.limit速率匹配扩展n(1)指定单位时间内允许通过的数据包个数,单位时间能够是/second、/minute、/hour、/day或使用第一个字母。n#iptables-A INP
9、UT-m limit-limit 300/hourn(2)指定触发事件的阀值。n#iptables-A INPUT-m limit limit-burst 10n(3)同时指定速率限制和触发阀值n#iptables-A INPUT-p icmp-m limit-limit 3/m limit-burst 3n表示每分钟允许的最大包数量为限制速率(本例为3)加上当前的触发阀值burst数。任何情况下,都可确保3个数据包通过,触发阀值burst相当于允许额外的包数量。n4.基于状态的匹配扩展n每个网络连接包括以下信息:源地址、目标地址、源端口、目的端口,称为套接字对(socket pairs);协
10、议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表,比简单包过滤防火墙具备更大的安全性,命令格式如下:niptables-m state-state!state,state,state,staten其中,state是个逗号分割的列表,用来指定连接状态,4种:nNEW:该包想要开始一个新的连接。nRELATED:该包是属于已连接的新建连接。nESTABLISHED:该包属于某个已建立的连接。nINVALID:该包不匹配于任何连接,通常这些包被DROP。n(1)在INPUT链添加一条规则,匹配已建立的连接或由已建立的连接所建立的新连接。即匹配任何的TCP回应包。n#iptables-A INPUT-m state state RELATED,ESTABLISHEDn(2)在INPUT链添加一条规则,匹配任何从非eth0接口来的连接请求包。n#iptables-A INPUT-m state-state NEW-i!eth0
