工程三：Linux防火墻實驗目的Linux下的防火墻是iptables/netfilter。iptables是一個用來指定netfilter規(guī)那么和管理內核包過濾的工具，它為用戶配置防火墻規(guī)那么提供了方便。與大多數(shù)的Linux軟件一樣，這個包過濾防火墻是免費的，它可代替昂貴的商業(yè)防火墻解決方案，完成封包過濾、封包重定向和網絡地址轉換NAT等功能。本實訓通過對Linux系統(tǒng)下的防火墻的配置，到達如下目的：1、熟悉Linux防火墻的表、鏈結構。2、理解數(shù)據(jù)包匹配的根本流程。3、管理和設置iptables規(guī)那么。4、使用SNAT策略配置共享上網。5、使用DNAT策略發(fā)布企業(yè)內網的應用效勞。6、熟練編寫iptables防火墻腳本。7、掌握Linux下常用的網絡效勞的配置。實驗拓撲：Win2003外網效勞器內網接口IP〔eth0〕：外網接口IP〔eth1〕：任務1配置必要的網絡環(huán)境

外網效勞器：防火墻內網接口：〔eth0〕防火墻外網接口：〔eth1〕內網效勞器：內網客戶機：IP地址分配方案：防火墻內網接口地址：防火墻內網接口地址：內網效勞器IP地址：內網客戶機IP地址：外網效勞器IP地址：驗證內網之間，內網與防火墻內網接口，外網效勞器與防火墻外網接口可以連通。啟用防火墻的IP包轉發(fā)功能Iptables–tnat設置源地址轉換，使得內網客戶機能夠訪問外網的效勞器任務2配置Windows效勞器的常用效勞

配置NDS效勞器:配置公網的www效勞和FTP，實現(xiàn)客戶端可以訪問公網的web頁面以及FTP的根本效勞。任務3配置內網Linux效勞器的常用效勞

Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport80–jDNAT–to-destination:80iptables-AFORWARD-ptcp--dport80-jACCEPTiptables-AFORWARD-ptcp--sport80-jACCEPT配置Linux的Web效勞器，并設置防火墻的IP包轉發(fā)功能，實現(xiàn)通過訪問防火墻的公網地址可以訪問內網的Web效勞器配置Linux的FTP效勞器，并設置防火墻的IP包轉發(fā)功能，實現(xiàn)通過訪問防火墻的公網地址可以訪問內網的FTP效勞器的匿名下載功能。Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport21–jDNAT–to-destination:21Iptables–tnat–APREROUTING-ieth1–d53–ptcp–dport20–jDNAT–to-destination:20iptables-AFORWARD-ptcp--dport20:21-jACCEPTiptables-AFORWARD-ptcp--sport20:21-jACCEPT任務4防火墻的包過濾功能設置〔filter表〕1、修改防火墻的策略，將包轉發(fā)設置為拒絕〔缺省為ACCEPT〕iptables–PFORWARDDROP2.修改防火墻的策略，當內網用戶用ping命令探測防火墻網關效勞器時顯示超時。iptables–AINPUT–ieth1–picmp––icmp-type8–jDROP3、添加防火墻規(guī)那么，允許內網用戶使用公網DNS效勞器進行域名解析。iptables-AFORWARD-ptcp--dport53-jACCEPTiptables-AFORWARD-pudp--dport53-jACCEPTiptables-AFORWARD-ptcp--sport53-jACCEPTiptables-AFORWARD-pudp--sport53-jACCEPT4、添加防火墻規(guī)那么，允許內網用戶使用公網Web效勞進行網頁瀏覽。iptables-AINPUT-ieth0-ptcp-s0/0--sport80-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-ieth0-ptcp-s0/0--sport443-mstate--stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-