Linux系统iptables防火墙 实验指导书
《网络安全》实验指导书
Linux系统iptables防火墙
一、实验目的
1、熟悉和掌握TCP/IP协议的基础概念和
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
;
2、掌握防火墙的概念、功能分类及实现方法;
3、掌握Linux系统防火墙和iptables防火墙的配置方法。
二、实验原理
1、防火墙的任务
防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标,而每个目标通常都不是一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的需求。防火墙要能满足以下四个目标:
1> 实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略,比如你的安全策略需要对MAIL服务器的SMTP流量做限制,那么你要在防火墙上强制这些策略。
2> 创建一个阻塞点
防火墙在一个公司的私有网络和分网间建立一个检查点。这种实现要求所有的流量都要经过这
个检查点。一旦检查点被建立,防火墙就可以监视,过滤和检查所有进出的流量。网络安全中
称为阻塞点。通过强制所有进出的流量都通过这些检查点,管理员可以集中在较少的地方来实
现安全目的。
3>
记录
混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载
internet活动
防火墙还能强制记录日志,并且提供警报功能。通过在防火墙上实现日志服务,管理员可以监
视所有从外部网或互联网的访问。好的日志是适当网络安全的有效工具之一。
4> 限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增
加保密性。当远程节点侦测你的网络时,他们仅仅能看到防火墙。远程设备将不会知道你内部
网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过
对所能进入的流量进行检查,以限制从外部发动的攻击。
2、iptables及其命令格式
内核防火墙,其工作原理为对经过网络模块的数据包的处理,各数iptables是Linux 2.4.X 的
据包按流经位置进入相应的规则链,iptables逐条对比链内的规则,如果满足条件,则进行相
应的动作。其配置文件为/etc/sysconfig/iptables。
命令格式: iptables 指令+规则链+条件+动作
, iptables指令(对规则链的操作)
,–A chain --append 添加到规则链中
,–D chain --delete 从规则链中删除匹配的规则
,–L[chain] --list 列出在一条链或所有链上的规则 (--line-numbers)
,–F [chain] --flush 清除一条链或所有链上的规则
,-P chain target --policy 把一个规则链上的策略改变为目标
,iptables内置有三个表filter、nat、mangle,缺省为filter表,可使用-t参数来选择
操作的表,用户可自定义表
, iptables规则链(chain)
进来的数据包 发出的数据包
路由 FORWARD
INPUT OUTPUT
本机
, Iptables条件
,-s IP地址 源地址
,-d IP地址 目的地址
,-i 接口名 接收的接口
,-o 接口名 发送的接口
,-p tcp/udp/icmp/47 协议
,--dport 目的端口
,--sport 源端口
,--syn 建立连接请求
,-m state ESTABLISHED / RELATED / NEW / INVALID 状态包过滤 , iptables动作(policy)(对数据包的操作)
, -j ACCEPT
, -j DROP
, -j REJECT( tcp-reset/icmp-port-unreachable )
三、实验步骤
1、准备工作
, 同一局域网内的2台PC
a) A的操作系统为Linux,在A安装网络服务及配置iptables;
b) B对A的配置进行验证,主要使用基于icmp协议的ping命令和基于tcp
协议的ftp相关命令或软件,假定其ip为10.10.96.123。 , 在A:
1)安装vsftpd
2)增加1个一般用户,如abc
3)添加新增用户为ftp用户
gedit /etc/vsftpd/vsftpd.conf,加入
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/ulis
gedit /etc/vsftpd/ulis,加入
abc
4)验证系统已打开iptables (默认)
system setting -> server setting -> service config -> iptables
, 熟悉使用netstat命令
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
当前的网络连接状态
2、配置Linux的系统防火墙
1)A: start -> system setting -> security level -> enable ftp(only),允许系统建立ftp
连接
2)B: ftp测试之 (使用user psw ls lcd get等命令)
3)A: start -> system setting -> security level -> disable ftp,禁止系统建立ftp连接 4)B测试之
3、使用iptables命令配置防火墙,熟悉几类基本过滤原则的配置方法(有关ftp的操作,必须确认系统防火墙允许建立ftp连接,因其优先级高于iptables配置) 0> 备份 /etc/sysconfig/iptables
1> 阻塞某IP的连接
A: 阻塞
# iptables -A INPUT -s 10.10.96.123 -j DROP
B: ping,测试之
A: 取消阻塞
# iptables -D INPUT -s 10.10.96.123 -j DROP
B: ping,测试之
(以下只列出实验过程的关键步骤,其他命令与测试请在实验过程中补足) 2>阻塞某网段的连接
A: # iptables -A INPUT -s 10.10.96.1/24 -j DROP
A: # iptables -D INPUT -s 10.10.96.1/24 -j DROP
3>阻塞某协议的连接,如icmp
A:# iptables -A INPUT -p icmp -j DROP
B: ping,测试之
A:# iptables -D INPUT -p icmp -j DROP
4> 阻塞某端口的连接,如ftpcmd使用的21端口
dport 21 -j DROP A:# iptables -A INPUT -p tcp --
B: ftp,测试之
A:# iptables -D INPUT -p tcp --dport 21 -j DROP
5>阻塞连接请求(选做,须较熟悉ftp模式;因系统已允许ftp的命令连接,iptables只能控制数据连接,即非21端口的建立)
5.1 阻塞本机到外部的连接
A:# iptables -A OUTPUT -p tcp --syn -j DROP
B: ftp,使用port模式get文件(port模式:服务器发起数据连接)
A:# iptables -D OUTPUT -p tcp --syn -j DROP
5.2阻塞本机到外部的连接-2
syn -j DROP A:# iptables -A OUTPUT -p tcp --
A: 尝试使用其他方法主动连接B的服务
A:# iptables -D OUTPUT -p tcp --syn -j DROP
5.3 阻塞外部主机到本机的连接
A:# iptables -A INPUT -p tcp --syn -j DROP
B: ftp,使用pasv模式get文件(pasv模式:客户端发起数据连接)
A:# iptables -D INPUT -p tcp --syn -j DROP
6>选择以上若干实验步骤,使用iptables动作REJECT代替DROP,比较它们的区别,思考使用DROP的优点。
7>(选学)从‘iptables参考
手册
华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载
’ 选学-m state、-m limit、-m mac、-m owner等配置选项。
8>结束iptables命令实验,恢复 /etc/sysconfig/iptables
四、实验报告要求
1. 报告条理清晰,重点突出,排版工整。
2. 双面打印;第一页页眉写班级、学号、姓名,时间;完成本学期所有实验后,各报
告依顺序叠好,在左上角以一枚钉书钉装订;按学号排好提交。
3. 内容要求:
1)实验
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
目
2)实验目的和内容