Linux系統(tǒng)iptables防火墻 實驗指導書

《Linux系統(tǒng)iptables防火墻 實驗指導書》由會員分享，可在線閱讀，更多相關《Linux系統(tǒng)iptables防火墻 實驗指導書（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、《網(wǎng)絡安全》實驗指導書 Linux系統(tǒng)iptables防火墻 一、實驗目的 1、熟悉和掌握TCP/IP協(xié)議的基礎概念和方法； 2、掌握防火墻的概念、功能分類及實現(xiàn)方法； 3、掌握Linux系統(tǒng)防火墻和iptables防火墻的配置方法。 二、實驗原理 1、防火墻的任務 防火墻在實施安全的過程中是至關重要的。一個防火墻策略要符合四個目標，而每個目標通常都不是一個單獨的設備或軟件來實現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的需求。防火墻要能滿足以下四個目標： 1> 實現(xiàn)一個公司的安全策略 防火墻的主要意圖是強制執(zhí)行你的安全策略，比如你的安全策略需要對M

2、AIL服務器的SMTP流量做限制，那么你要在防火墻上強制這些策略。 2> 創(chuàng)建一個阻塞點 防火墻在一個公司的私有網(wǎng)絡和分網(wǎng)間建立一個檢查點。這種實現(xiàn)要求所有的流量都要經(jīng)過這個檢查點。一旦檢查點被建立，防火墻就可以監(jiān)視，過濾和檢查所有進出的流量。網(wǎng)絡安全中稱為阻塞點。通過強制所有進出的流量都通過這些檢查點，管理員可以集中在較少的地方來實現(xiàn)安全目的。 3> 記錄internet活動 防火墻還能強制記錄日志，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務，管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志是適當網(wǎng)絡安全的有效工具之一。 4> 限制網(wǎng)絡暴露 防火墻在你的網(wǎng)絡周圍創(chuàng)建了一個保護

3、的邊界。并且對于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性。當遠程節(jié)點偵測你的網(wǎng)絡時，他們僅僅能看到防火墻。遠程設備將不會知道你內(nèi)部網(wǎng)絡的布局以及都有些什么。防火墻提高認證功能和對網(wǎng)絡加密來限制網(wǎng)絡信息的暴露。通過對所能進入的流量進行檢查，以限制從外部發(fā)動的攻擊。 2、iptables及其命令格式 iptables是Linux 2.4.X 的內(nèi)核防火墻 ，其工作原理為對經(jīng)過網(wǎng)絡模塊的數(shù)據(jù)包的處理，各數(shù)據(jù)包按流經(jīng)位置進入相應的規(guī)則鏈，iptables逐條對比鏈內(nèi)的 規(guī)則，如果滿足條件，則進行相應的動作。其 配置文件為/etc/sysconfig/iptables。 命令格式： i

4、ptables 指令+規(guī)則鏈+條件+動作 l iptables指令（對規(guī)則鏈的操作） n–A chain --append 添加到規(guī)則鏈中 n–D chain --delete 從規(guī)則鏈中刪除匹配的規(guī)則 n–L[chain] --list 列出在一條鏈或所有鏈上的規(guī)則 (--line-numbers) n–F [chain] --flush 清除一條鏈或所有鏈上的規(guī)則 n-P chain target --policy 把一個規(guī)則鏈上的策略改變?yōu)槟繕? niptables內(nèi)置有三個表filter、nat、mangle，缺省為filter表，可使用-t參數(shù)來選擇操作的表，用戶

5、可自定義表 l iptables規(guī)則鏈（chain） 進來的數(shù)據(jù)包 路由 本機 發(fā)出的數(shù)據(jù)包 FORWARD INPUT OUTPUT l Iptables條件 n-s IP地址 源地址 n-d IP地址 目的地址 n-i 接口名 接收的接口 n-o 接口名 發(fā)送的接口 n-p tcp/udp/icmp/47 協(xié)議 n--dport 目的端口 n--sport 源端口 n --syn 建立連接請求 n-m state

6、 ESTABLISHED / RELATED / NEW / INVALID 狀態(tài)包過濾 l iptables動作（policy）（對數(shù)據(jù)包的操作） n -j ACCEPT n -j DROP n -j REJECT（ tcp-reset/icmp-port-unreachable ） 三、實驗步驟 1、 準備工作 l 同一局域網(wǎng)內(nèi)的2臺PC a) A的操作系統(tǒng)為Linux，在A安裝網(wǎng)絡服務及配置iptables； b) B對A的配置進行驗證，主要使用基于icmp協(xié)議的ping命令和基于tcp協(xié)議的ftp相關命令或軟件，假定其ip為10.10

7、.96.123。 l 在A： 1)安裝vsftpd 2)增加1個一般用戶，如abc 3)添加新增用戶為ftp用戶 gedit /etc/vsftpd/vsftpd.conf，加入 userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd/ulis gedit /etc/vsftpd/ulis，加入 abc 4)驗證系統(tǒng)已打開iptables （默認） system setting -> server setting -> service config -> iptables l 熟悉使用netstat

8、命令分析當前的網(wǎng)絡連接狀態(tài) 2、 配置Linux的系統(tǒng)防火墻 1） A: start -> system setting -> security level -> enable ftp(only)，允許系統(tǒng)建立ftp連接 2） B: ftp測試之 （使用user psw ls lcd get等命令） 3） A: start -> system setting -> security level -> disable ftp，禁止系統(tǒng)建立ftp連接 4） B測試之 3、 使用iptables命令配置防火墻，熟悉幾類基本過濾原則的配置方法（有關ftp的操作，必須確認系統(tǒng)防火墻允

9、許建立ftp連接，因其優(yōu)先級高于iptables配置） 0> 備份 /etc/sysconfig/iptables 1> 阻塞某IP的連接 A: 阻塞 # iptables -A INPUT -s 10.10.96.123 -j DROP B: ping，測試之 A: 取消阻塞 # iptables -D INPUT -s 10.10.96.123 -j DROP B: ping，測試之 （以下只列出實驗過程的關鍵步驟，其他命令與測試請在實驗過程中補足） 2>阻塞某網(wǎng)段的連接 A: # iptables -A INPUT -s 10.10.96.1/24 -j D

10、ROP A: # iptables -D INPUT -s 10.10.96.1/24 -j DROP 3>阻塞某協(xié)議的連接，如icmp A:# iptables -A INPUT -p icmp -j DROP B: ping，測試之 A:# iptables -D INPUT -p icmp -j DROP 4> 阻塞某端口的連接，如ftpcmd使用的21端口 A:# iptables -A INPUT -p tcp --dport 21 -j DROP B: ftp，測試之 A:# iptables -D INPUT -p tcp --dport 21 -j D

11、ROP 5>阻塞連接請求（選做，須較熟悉ftp模式；因系統(tǒng)已允許ftp的命令連接，iptables只能控制數(shù)據(jù)連接，即非21端口的建立） 5.1 阻塞本機到外部的連接 A:# iptables -A OUTPUT -p tcp --syn -j DROP B: ftp，使用port模式get文件（port模式：服務器發(fā)起數(shù)據(jù)連接） A:# iptables -D OUTPUT -p tcp --syn -j DROP 5.2阻塞本機到外部的連接-2 A:# iptables -A OUTPUT -p tcp --syn -j DROP A: 嘗試使用其他方法主動連接B的

12、服務 A:# iptables -D OUTPUT -p tcp --syn -j DROP 5.3 阻塞外部主機到本機的連接 A:# iptables -A INPUT -p tcp --syn -j DROP B: ftp，使用pasv模式get文件（pasv模式：客戶端發(fā)起數(shù)據(jù)連接） A:# iptables -D INPUT -p tcp --syn -j DROP 6>選擇以上若干實驗步驟，使用iptables動作REJECT代替DROP，比較它們的區(qū)別，思考使用DROP的優(yōu)點。 7>（選學）從‘iptables參考手冊’ 選學-m state、-m limit、-m mac、-m owner等配置選項。 8>結(jié)束iptables命令實驗，恢復 /etc/sysconfig/iptables 四、實驗報告要求 1. 報告條理清晰，重點突出，排版工整。 2. 雙面打??；第一頁頁眉寫班級、學號、姓名，時間；完成本學期所有實驗后，各報告依順序疊好，在左上角以一枚釘書釘裝訂；按學號排好提交。 3. 內(nèi)容要求： 1） 實驗題目 2） 實驗目的和內(nèi)容