Project 6 Lab-Report实验名称 小组成员 指导教师 所属班级实验描述【实验背景】IP-Table是与最新的版本Linux内核集成的IP信息包过滤系统如果Linux系统连接到因特网或LAN的服务器,或连接到LAN和因特网的代理服务器, 则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置n etfilter/IP-Table IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和 除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则这些规 则存储在专用的信息包过滤表中, 而这些表集成在Linux内核中在信息包过滤表中,规则被分组放在我们所谓的链(chai n)中实验目的】根据实验要求配置IP-Table掌握IP-Table规则的编写实验环境】虚拟机使用信息: VirtualBox与VmwareLin ux 版本信息: Linux 内核版本: 二.实验准备mlConfigure m2 with iptqbles.在进行IP-Table设置前需要搭建实验环境,实验所需的环境配置如下图所示:【基于实验指导书Lab-6]其中, 1 号机、 3 号机是内网计算机, 2 号机为网关,最右边蓝色区域为外网。
实 验环境搭建成功之后,需要完成下面的实验步骤:【 Part A 】1、 在2号机上用NAT表的POSTROUTIN链配置NAT1) 伪装(MASQUERADE包使内网的IP地址从外网隐藏2) 从1号机和3号机,只允许通过SSH连接到外网2、 此步骤的NAT配置在整个实验过程中持续有效【 Part B 】为来自或者到达 2 号机(网关)的包编写规则,到达以下目的:1、 允许来自或者到达2号机的SSH1接2、 允许来自或者到达 2 号机的 ping 连接3、 阻断来自或者到达 2 号机的其他所有通信4、 提示:Part B需要INPUT和 OUTPUT链,但不需要FORWARD链【 Part C 】1、 清除Part B中filter表设置的规则2、 仅允许1号机(不允许3号机)向外网中的主机发起 SSH通信3、 阻断其他所有通信4、 提示:Part C需要 FORWARD INPUT和 OUTPUT链三.IP-Table规则分析【 IP-Table 规则】——基于网络百科知识(摘要)功效:IP-Table规则指定所检查包的特征和目标如果包不匹配某条规则,将送往该链中下一条规则检查1)目标值( TARGETS)目标值可以是用户定义的链名,也可以是某个专用值,如: ACCEPT通过)、DROP(删除)、QUEUE (排队)或者RETURN(返回)。
ACCEPT表示让这个包通过;DROP: 表示将这个包丢弃;QUEUE表示把这个包传递到用户空间;RETURN表示停止这条链的匹配,到前一个链的规则重新开始如果到达了一 个内建的链的末端,或者遇到内建链的规则是 RETURN包的命运将由链准则指定的目 标决定2) 表(TABLES-t table :指定命令要操作的匹配包的表在IP-Table规则中有三个表,分别为: filter :这是默认的表,包含了内建的链 INPUT(处理进入的包)、FORWARD(处 理通过的包)和 OUTPUT (处理本地生成的包)nat:这个表被查询时表示遇到了产生新的连接的包它由三个内建的链构成:PREROUTING修改至U来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTINQ修 改准备出去的包)mangle :这个表用来对指定的包进行修改 它有两个内建规则:PREROUTING修 改路由之前进入的包)和 OUTPUT (修改路由之前本地的包)3) 选项( OPTIONS)可被IP-Table识别的选项可以区分不同的种类,分别为:命令(COMMANDS) 这些选项指定执行明确的动作若指令行下没有其他规定,该行只能指定一个选 项。
对于长格式的命令和选项名,所用字母长度只要保证IP-Table能从其他选项中区分文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 . 出该指令就行了常用命令如下:-F -lush :清空所选链这等于把所有规则一个个的删除X -delete-chain : 删除指定的用户自定义链这个链必须没有被引用,如果被 引用,在删除之前你必须删除或者替换与之有关的规则如果没有给出参数,这条命 令将试着删除每个非内建的链Z -zero:把所有链的包及字节的计数器清空L -list :显示所选链的所有规则如果没有选择链,所有链将被显示也可以和-Z 选项一起使用,这时链会被自动列出和归零精确输出受其它所给参数影响A -append : 在所选择的链末添加一条或更多规则当源(地址)或者 /与目的 (地址)转换为多个地址时,这条规则会加到所有可能的地址 (组合)后面D -delete: 从所选链中删除一条或更多规则这条命令可以有两种方法:可以 把被删除规则指定为链中的序号 (第一条序号为 1),或者指定为要匹配的规则P -policy : 设置链的目标规则参数(PARAMETERS以下参数构成规则详述,如用于 add、delete、 replace、append 和 check 命令。
p -protocal [!]protocol :规则或者包检查 (待检查包 )的协议指定协议可以是 tcp、udp、icmp 中的一个或者全部,也可以是数值,代表这些协议中的某一个当然 也可以使用在 /etc/protocols 中定义的协议名在协议名前加上 "!" 表示相反的规则数 字0相当于所有(all)Protocol all会匹配所有协议,而且这是缺省时的选项在和check 命令结合时, all 可以不被使用s -source [!] address[/mask] : 指定源地址,可以是主机名、网络名和清楚的 IP 地址 mask 说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左 边"1"的个数,因此,mask值为24等于"!"说明指定了相反的地址段标志 --src是这个选项的简写-d --destination [!] address[/mask] :指定目标地址,使用方法和 -s 类似i -in-interface [!] [name] : 这是包经由该接口接收的可选的入口名称,包通过 该接口接收(在链INPUT FORWOR环口 PREROUTIN®进入的包)。
当在接口名前使用 "!"说明后,指的是相反的名称如果接口名后面加上 "+",则所有以此接口名开头的接 口都会被匹配如果这个选项被忽略,会假设为 "+" ,那么将匹配任意接口o --out-interface [!][name] :这是包经由该接口送出的可选的出口名称,包通过该口输出(在链 FORWARD OUTPUT和POSTROUTIN中送出的包)当在接口名前 使用"!"说明后,指的是相反的名称如果接口名后面加上 "+",则所有以此接口名开头 的接口都会被匹配如果这个选项被忽略,会假设为 "+",那么将匹配所有任意接口j --jump target :-j: 目标跳转指定规则的目标也就是说,如果包匹配应 当做什么目标可以是用户自定义链(不是这条规则所在的) ,某个会立即决定包的命 运的专用内建目标,或者一个扩展如果规则的这个选项被忽略,那么匹配的过程不 会对包产生影响,不过规则的计数器会增加四. 建立相应实验环境在本实验中需要数台计算机,分别使用相同的虚拟机以及 ubuntu 版本,并且其中 1号机、3号机处于内网环境(它们处于同一个子网之下,并且相互间可以 Ping通), 另外有一台计算机 (2 号机)作为网关连接内网和外网, 还需要有一台计算机处于外网 环境。
因此要圆满完成本实验,至少需要 4 台计算机 (最后这一台计算机可以我们利 用了学校机房线程的机子) 针对我的计算机的实际情况,可以将本机作为外网计算机,另外运行 1 个虚拟机 作为 2 号机,再运行 2个虚拟机作为 1 号机和 3 号机可是我的计算机在运行两个虚 拟机的时候处理速度就变得非常慢,因此我只能运行 1 台虚拟机作为 2 号机,再运行一个虚拟机作为1号机,至于3号机,由于在Part A和Part B中,1号机和3号机的规 则是相同的,因此只要有一个就足以达到验证规则的目的而在 Part C中,二者的规则有区别,这可以通过修改1号机的IP地址达到验证的目的因此只运行两台虚拟机 同样能达到验证规则,完成本实验的效果综上,在本实验中,我用本机作为外网计算机,用虚拟机 ubuntu2 作为内网计算 机 1 号机,用虚拟机“ ubuntu2 的克隆”作为网关 2 号机配置实验环境的过程如下:【2 号机相关配置】由于 2 号机是网关连接内网和外网,因此它必须有两块网卡,一块实现内网和 2 号机的直接通信,另一块实现外网和 2号机的直接通信因此配置 2号机的过程如下:1) 增加一个网卡点击VMware左侧目录中的虚拟机“ 3000Shan3图标,右键“设置”,得到如下 界面(图 2),在左边界面中单击“添加”按钮进行硬件的添加,在弹出界面中选择硬 件类型为“网络适配器” ,然后点击“ Next”。
编辑虚拟机设置】【选择添加硬件的类型】之后选择网络连接方式为“自定义” ,然后点击“完成” ,完成增加网卡的过程选择新增网卡的网络连接方式】 然后查看虚拟机的主界面,可以发现多了一个网络适配器图标,而且它连接方式 变为“通用”!【新增网卡后“ Ubuntu2 的克隆”的主界面】2) 运行“ Ubuntu2 的克隆”,修改新增网卡的有关配置开启虚拟机“ Ubuntu2 的克隆”,以 root 用户登录登录后右键单击桌面上方网络连接的小图标,选择“编辑连接…”,可以看到“有线” 一栏下有“Auto ethl”和“Auto eth2 ”两个网络接口, “ Auto eth2 ”是新增的单击“ Auto eth2 ”,选择“编辑”,在弹出界面中选择“IPv4设置”,然后选择方法 为“手动”,可以看到“地址”部分变为可编辑单击“添加” ,将地址设定为“ eth1” 的IP地址在一个网段就可以),子网掩码设为默认的“,网关可以任意设定设定完之 后选择“应用”新增网卡接口“ Auto eth2”的设置】3)查看 2 号机的 IP 地址PS:后继所有关于ubuntu上的终端操作均以root权限为主 选择“应用程序”宀“附件”宀“终端”,在终端中输入命令“ ifconfig ”查看2号 机的IP地址等信息:【2号机的IP地址】可以看到与外网连接的网口 ethl的IP地址为:,与内网连接的网口 eth2的IP地址 为,和我之前设置的一样,这说明 2 号机的配置成功!2. 配置 1 号机1) 选择“ Ubuntu2 ”的网络连接方式点击VMware的“ Ubuntu2”的主界面中的“编辑虚拟机设置”,在弹出界面中单 击“Network Adapter”,然后选择界面右侧的“Custom”,点击“0K'。
即将“Ubuntu2” 的网络连接方式设为自定义,和“ Ubuntu2 的克隆”中和内网连接的网卡是一样的2) 运行“ Ubuntu2”,修改网。