路由防火墙本章教学目标：掌握Linux路由器的配置掌握Linux防火墙的配置理解Linux防火墙的应用重点：Linux下路由及防火墙配置难点：如何使用iptables工具配置防火墙规则。关键词：路由防火墙15-1路由器的原理与作用2.路由器的作用（1）协议转换（2）路由选择（3）流量控制（4）数据的分段和组装（5）网络管理（6）隔离广播（7）网络互联3、路由表的分类4.路由器的工作原理（1）路由表(静态、动态）（2）源主机与目的主机在同一网络直接发送（3）不在同一网络时，源主机把数据包发送给本网络的某一台路由器，路由器根据路由表进行数据转发返回首页案例一15-2静态路由的配置及其实现(2)配置网卡接口的ip信息通常为网关地址；(3)配置静态路由表如：#routeadd-net192.168.1.0/24deveth0#routeadd–host192.168.0.1deveth0#routeadd–net192.168.1.0netmask255.255.255.0gw192.168.0.1（4）测试静态路由在不同的子网中的一台LINUX客户机上配置网络接口与网关利用ping命令进行测试；(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local添加以下内容echo“1”>/proc/sys/net/ipv4/ip_forward或#echo“echo1”>/proc/sys/net/ipv4/ip-forward”>>/etc/rc.d/rc.local(2)启用动态路由协议①zebra简介zebra是基于Linux系统的Cisco路由仿真软件，该软件支持IPv4、IPv6协议和其他多种路由协议。zebra的特性：模块化设计、运行速度快、具有高可靠性；为什么使用zebra：1、替代昂贵的硬件路由器2、配置与CISCO的IOS配置相同；②zebra的安装#rpm–ivhzebra…i386.rpm(CD3)相关文件：vtysh//配置工具zebra.conf//zebra的主配置文件/etc/zebra///存放zebra配置文件目录③创建动态路由的配置文件#touch/etc/zebra/文件名.conf注：RIP协议(路由信息协议)的配置文件名是ripd.confOSPF协议（开放式最短路径优先）的配置文件名是ospf.confBGP协议（边界网关路由协议）的配置文件名是bgp.conf④启动服务#servicezebrastart#serviceripdstart⑤配置动态协议#vtyshrh9>以下为Cisco路由器命令分组操作…………………………点评、操作演示：………………………………………..返回首页案例二拒绝转发数据包到www.sina.comNAT，伪装内网192.168.5.0网段的的主机地址为外网192.168.1.48,这个公有地址，使内网通过NAT上网，前提是启用了路由转发把internet上通过80端口访问192.168.1.48的请求伪装到内网192.168.5.5这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发15-4防火墙基础防火墙分类·包过滤防火墙（网络层）·内容过滤防火墙（应用层）2.包过滤防火墙(1)包过滤防火墙定义包过滤是用一个软件查看所流经的数据包的包头（header），由此决定整个数据包的命运（丢弃/接受/其他相关操作）。(2)包过滤防火墙的工作原理3.Linux系统中常用的包过滤软件ipfwadm(应用于2.0内核)ipchains(应用于2.2内核)iptables(应用于2.4内核)15-5Iptables的基础netfilter/iptables的功能·包过滤·NAT·连接跟踪·QOS(网络服务质量，是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定)2.netfilter的体系各部分说明：（1）表（table）定义：一种存放规则链的容器（2）链（ipchain）定义：细分表的具体功能，每条链由若干条规则构成（3）规则（rule）定义：是一种包含条件的判断语句，用于确定如何处理数据包15-6利用iptables配置规则2.iptables的语法命令格式：iptables[-t表名]命令[链][规则号][条件][规则]说明：（1）-t表名指定规则所在的表。表名可以是filter,nat,mangle表种类：FILTER(默认)：包过滤NAT：地址转换MANGLE：QOS（2）命令（iptables的