收藏
下载资源

8103203608实验报告

上传人:飞*** 文档编号:3502278 上传时间:2017-08-06 格式:DOC 页数:7 大小:94.50KB
返回 下载 相关 举报
8103203608实验报告_第1页
第1页 / 共7页
8103203608实验报告_第2页
第2页 / 共7页
8103203608实验报告_第3页
第3页 / 共7页
8103203608实验报告_第4页
第4页 / 共7页
8103203608实验报告_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《8103203608实验报告》由会员分享,可在线阅读,更多相关《8103203608实验报告(7页珍藏版)》请在金锄头文库上搜索。

1、湖北第二师范学院 计算机学院 实验报告计算机工程系实验报告单课程名称:Linux 网络操作系统学号: 1250312025 姓名: 郝耀峰 班级: 12 计科 3 班 院系: 计算机学院 专业: 计算机科学与技术 实验室: S4310 同组人: 无 组号: 无 辅导老师: 刘志明 实验项目编号: 8103203608 实验项目名称: Iptables SSH 日期: 2014.5.20(1-2) 成绩: 湖北第二师范学院 计算机学院 实验报告计算机工程系1、实验目的1、理解 IPtables 及 SSH 的功能及工作原理2、理解 IPtables 及 SSH 中各配置项中的配置指令3、掌握 I

2、Ptables 策略的设置及熟练使用 SSH 工具2、实验环境Red Hat Linux Server 6.0(64 位)3、实验原理(或要求)1. 能正确进行 IPtables、SSh 的配置并熟练使用4、实验步骤1. 检测网络环境执行 ifconfig -a 指令查看 本机网卡基本配置信息ping 127.0.0.1ping 125.220.74.* ping 本机 IP 地址ping 125.220.74.* ping 局域网内其他主机 检测网线连接是否正常ping 125.220.71.247 ping 远程主机 检测网关配置是否正常2.filter 表的应用1保护防火墙自身示例设有一

3、台 Linux 服务器,利用 iptables 作为防火墙,要求自定义一条名为 MYCHAIN 的新链,来实现只允许开放本机的 http 服务,其余协议和端口均拒绝。说明:一般情况下,为了 iptables 规则编辑的方便,通常采用脚本程序来实现具体的防火墙规则。解决方案如下:防火墙脚本 newchain.sh 实现上述要求,其内容如下:#!/bin/shiptables F#清空 filter 表中的规则iptables X#删除 filter 表中自定义的链 iptables -N MYCHAIN#自定义名字为 MYCHAIN 的链iptables -A MYCHAIN -p tcp -d

4、port 80 -j ACCEPT#在 MYCHAIN 链追加一条规则,功能为接受协议为 tcp 且目标端口为80 的数据包湖北第二师范学院 计算机学院 实验报告计算机工程系iptables -A MYCHAIN -j RETURN#在 MYCHAIN 链追加一条规则,返回到调用该链处的下一条规则iptables -P INPUT DROP#将 INPUT 的默认处理策略设置为 DROPiptables A INPUT i lo j ACCEPT#接受本机环回测试的数据包进入iptables -A INPUT -j MYCHAIN#在 INPUT 链中追加一条规则,功能为跳转到 MYCHAIN

5、 链去执行其中的规则iptables -A INPUT -p tcp -dport 22 -j LOG -log-prefix #在 INPUT 链中追加一条规则,功能是将访问本机 tcp 端口 22 的数据包记录到日志中,并在日志中加上前缀 iptables -A OUTPUT DROP#设置 OUTPUT 链的默认处理策略为 DROPiptables -A OUTPUT -p tcp -sport 80 -j ACCEPT#在 OUTPUT 链中追加一条规则,放行协议为 tcp 且源端口为 80 的数据包iptables -L执行该脚本:# ./newchain.sh说明:本例中前两条规则

6、实现了清空 filter 表中的所有规则、并删除了所有自定义的链,这样做的目的是为了设置一个“干净”的环境,以利于后续脚本中规则正确地发挥作用。2利用 iptables 充当网关防火墙设防火墙主机上的两块网卡分别连接两个网段,其中网卡 eth3 用来连接外网,其 IP 地址为 202.204.235.1/24,网卡 eth2 用来连接内网,其 IP 地址为 192.168.2.1/24。内网有一台服务器,其 IP 地址为 192.168.2.2,计划开放该服务器的 ssh 服务、www 服务和 ftp 服务,为了安全起见,在防火墙上设置只允许 ftp 服务采用被动模式工作 。网络拓扑参见图 9

7、-2。湖北第二师范学院 计算机学院 实验报告计算机工程系解决方案如下:防火墙脚本 firewall.sh 实现上述要求,其内容如下:#!/bin/shmodprobe ip_conntrack_ftp#把 ip_conntrack_ftp 模块载入内核,实现对 ftp 会话的跟踪modprobe ip_nat_ftp#把 ip_nat_ftp 模块载入内核,实现对 nat、ftp 功能的支持echo 1 /proc/sys/net/ipv4/ip_forward#激活路由转发功能iptables -Fiptables -F -t natiptables -F -t mangle#以上三条分别清

8、空 filter、nat 和 mangle 三张表 iptables -P FORWARD DROP#将 FORWARD 链的默认策略设置为 DROPiptables -A FORWARD -i eth3 -p tcp -dport 80 -j ACCEPT#允许协议为 tcp 目标端口为 80 的且从外网接口 eth3 进入的数据包通过本防火墙,即开放对内网 www 服务的请求。iptables -A FORWARD -i eth2 -p tcp -sport 80 -j ACCEPT#允许内网 www 服务的应答包通过本防火墙,即开放内网 www 服务的应答。iptables -A FOR

9、WARD -i eth3 -p tcp -dport 21 -j ACCEPT#允许协议为 tcp 目标端口为 21 的且从外网接口 eth3 进入的数据包通过本防火墙,即开放对内网 ftp 服务的控制连接。iptables -A FORWARD -m state -state RELATED,ESTABLISHED -j ACCEPT#利用“-m state -state RELATED,ESTABLISHED”,开放内网 ftp 服务的数据连接的被动传输模式。iptables -A FORWARD -p tcp -dport 22 -j ACCEPT#开放内网服务器的 ssh 服务。 2.

10、 安全远程登录(1)采用默认用户名登录以下是从 (192.168.1.1)登录到(192.168.1.2)的示例:rootredhat1 # su - user1user1redhat1 $ ssh 192.168.1.2The authenticity of host 192.168.1.2 (192.168.1.2) cant be established.RSA key fingerprint is c2:29:5d:79:1e:76:59:fd:0e:b5:97:0c:52:03:7c:7e.Are you sure you want to continue connecting (y

11、es/no)? yesWarning: Permanently added 192.168.1.2 (RSA) to the list of known hosts.user1192.168.1.2s password:Last login: Thu Dec 21 10:33:14 2006湖北第二师范学院 计算机学院 实验报告计算机工程系user1redhat2 $(2)采用指定的用户名登录可以采用指定用户身份来登录远程主机,示例如下:rootredhat1 # ssh user2192.168.1.2很明显,本地主机的当前用户是 root,登录 192.168.1.2 时采用的远程主机上的

12、用户 user2。4. scpscp 远程安全复制示例 以 user2 的身份访问远程主机 192.168.1.2,并将其主目录下的文件a.tar.gz 复制到本地主机的/tmp 目录下,将本地主机上的/etc/dhcpd.conf 文件复制到远程主机 192.168.1.2 上 user2 用户的主目录中。执行命令如下:$ scp user2192.168.1.2:/a.tar.gz /tmpuser2192.168.1.2s password:a.tar.gz 100% 61KB 61.4KB/s 00:00$ scp /etc/dhcpd.conf user2192.168.1.2:us

13、er2192.168.1.2s password:dhcpd.conf 100% 792 0.8KB/s 00:00 5.sftp6. 主机访问控制解决方案:利用/etc/hosts.allow 文件的功能来实现,具体步骤如下:1)在服务器 redhat1 上编辑 /etc/hosts.allowrootredhat1 etc# vi /etc/hosts.allow内容如下:sshd:192.168.1.2sshd::deny2)在服务器 redhat1 上编辑 /etc/hosts.rootredhat1 etc# vi /etc/hosts增加如下内容:192.168.1.210 说明:

14、这里利用/etc/hosts 文件来强制认为 192.168.1.210 就是 中的主机,这样做完全是为了测试方便。7. 用户访问控制 解决方案:实现方法可以通过编辑 SSH 服务的配置文件/etc/ssh/sshd_config 来设置针对特定用户的访问控制,具体操作过程如下。1)在服务器端即 (192.168.1.1)上执行如下操作首先,编辑 SSH 服务的配置文件/etc/ssh/sshd_configrootredhat1 ssh #vi /etc/ssh/sshd_config在文件末尾加入如下内容:DenyUsers user2 user3湖北第二师范学院 计算机学院 实验报告计算机工程系说明:在文件 sshd_config 中还可以使用 AllowUsers、 AllowGroups 和 DenyGroups 指令来对用户和组进行访问控制。然后,重新启动 SSH 服务:rootredhat1 ssh# service sshd restart5、记录与处理(实验数据、误差分析、结果分析)1、安装 iptables 防火墙如果没有安装 iptables 需要先安装,CentOS 执行:yum install iptablesDebian/Ubuntu 执行:apt-get install iptables2、清除已有 ipt

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号