日期:2023年11月25日地点:现代教育中心204
姓名:马迪学号1411050116
实验环境]1、操作系统:microsoft windows 2000 professional with sp4、ubuntu jeos 8.04.
3 lts 2.6.24-24-virtual
2、应用软件:iptables 1.3.8(系统软件无需安装)、http file server
实验目标]1、理解 iptables 防火墙的构成元素和工作原理,熟悉包过滤配置命令;
2、理解 iptables 防火墙的连接跟踪机制,掌握典型应用场景和配置方法;
3、根据实验要求写出 iptables 防火墙配置命令,并检验结果是否正确。[实验原理]
iptables 是集成在 版本内核的 ip 包过滤系统,该系统可以用于在连接到局域网或互联网的 linux 主机上更好的控制网络流量,从而实现通信控制和其它安全功能。此外,iptables 还可以被配置为有状态的防火墙(称为连接追踪机制),能够指定并记住为发送或接收信息包所建立的连接状态。
iptables 的构成元素包括表、链和规则。多条防火墙规则按照不同应用场合被组织为五条链表(简称为链):input 链、forward 链、output 链、prerouting链、postrouting 链。
iptables 有三张表,分别为 filter 表、nat 表、mangle表,每张表可以包含一条或多条链。各链和表的位置及功能描述如表 5-1 所示。
iptables 的数据包处理流程框架如图 5-1 所示,其中箭头表明 ip 包流向。
实验过程]一)实验准备。
1、熟悉 iptables 和 ufw 软件操作(参考相关资料以及软件帮助文档);
2、虚拟机正本(linux系统,作为实验主机)、虚拟机副本(windows系统,作为验证主机);
3、在宿主机和验证主机上设置http服务器,根目录下分别发布文件hostfile和vertfile。
4、在宿主机设置ftp服务器,添加账户beta75,口令留空,根目录下发布文件hostfile。
二)实验过程。
静态防火墙配置部分。
1、检查初始网络环境。
在实验主机上:
ping 、宿主机、验证主机
2、启动 iptables 防火墙:sudo ufw enable;
3、查看防火墙启动结果:sudo ufw status;记录命令结果。
4、初始化防火墙规则集:
sudo iptables -f清除现有filter规则;
sudo iptables -x清除全部filter用户链;
sudo iptables -t nat -f清除全部nat规则;
sudo iptables -t nat -x清除全部nat用户链;
sudo iptables -xvnl查看filter表规则链;
sudo iptables -t nat -xvnl查看nat表规则链;
5、禁止一切网络流量:
sudo iptables -p input drop;
设置input链缺省策略(丢弃))
6.验证上述规则效果:重复第1步,记录命令结果;
7、允许局域网内部通信:
sudo iptables -a input -i eth0 -s 192.168.230.0/24 -j accept;
允许来自内部子网、到达eth0接口上的流量)
8、验证上述规则效果:重复第1步,记录命令结果;
9、允许宿主机网络通信:
sudo iptables -a input -i eth0 -s 10.250.15.0/24 -j accept;
允许来自宿主机子网、到达eth0接口上的流量)
10、验证上述规则效果:重复第1步,记录命令结果;
11、允许所有网络通信:
sudo iptables -a input -i eth0 -j accept;
允许来自外网、到达eth0接口上的流量)
12、验证上述规则效果:重复第1步,记录命令结果;
13、禁止本机ping通baidu:
sudo iptables -a output -p icmp -d www. -j drop;
丢弃目标为www. 的icmp数据包)
14、验证上述规则效果:重复第1步,记录命令结果;
15、禁止本机ping通宿主机网络:
sudo iptables -a output -p icmp -d 10.250.15.0/24 -j drop
丢弃目标为10.250.15.0/24的icmp数据包)
16、验证上述规则效果:重复第1步,记录命令结果;
17、禁止本机ping通本地网络:
sudo iptables -a output -p icmp -d 192.168.230.0/24 -j drop
丢弃目标为192.168.230.0/24的icmp数据包)
18、验证上述规则效果:重复第1步,记录命令结果;
19、禁止本机访问宿主机服务器:
sudo iptables -a output -p tcp -d 10.250.15.0/24 --dport 61880 -j drop;
丢弃目标为10.250.15.0/24、目的端口为61880的tcp数据包)
20、验证上述规则效果:重复第1步,记录命令结果;
21、禁止本机访问本地服务器:
sudo iptables -a output -p tcp -d 192.168.230.
0/24 --dport 61880 -j drop; (丢弃目标为192.168.230.
0/24、目的端口为61880的tcp数据包)
22、验证上述规则效果:重复第1步,记录命令结果;
整理实验结果。
标记:实验主机:a;宿主机:c;验证主机:d;ping:p;http:h;
实验过程截图:
实验准备过程:
实验过程:实验感想和结论:
通过这次试验,了解了iptables 防火墙的构成元素和工作原理,熟悉包过滤配置命令。通过设置防火墙并检验防火墙熟悉了防火墙的工作原理。不过实验时间太紧张,只完成了第二步,连接追踪防火墙没有完成。
网络安全作业
防火墙是建立在现代通信网络技术和信息安全技术之上并是一种应用最为广泛的安全技术。在构建网络安全环境的过程中,防火墙能够有效地限制了数据在网络内外的自由流动,它的网络安全保障作用已受到人们的广泛关注。提到防火墙,大多数人都会认为它是一个放置在网络中,去控制流量在网络分段中穿越的设备。实际上,防火墙也可...
网络安全作业
1 网络安全的目标时什么?常见的网络安全威胁有哪些?分析其原因,提出解决对策。2 简述数字签名的基本原理,数字签名与手工签名的区别是什么。3 对于一个刚装完系统的新机,在联网应用之前,你将如何对其进行管理及安全防护装置。网络安全作业 答 网络安全的目标是通过各种技术与管理手段实现网络信息系统的可控性...
网络安全作业
一 公司简介 伟达 中国 投资 是一家全球500强的跨国能源集团在华的独资企业,从事太阳能,电力,石油,化工,相关销售等项目等的公司。总部设在上海外滩,上海总部有200名员工,并在北京拥有1家分公司,员工约100人。伟达投资的组织结构 上海总部 200人 行政部 人力资源部 管理部 公共关系部 固定...