收藏
下载资源

信息安全-Iptables-蒋智超

上传人:枫** 文档编号:493813605 上传时间:2022-12-03 格式:DOCX 页数:8 大小:17.86KB
返回 下载 相关 举报
信息安全-Iptables-蒋智超_第1页
第1页 / 共8页
信息安全-Iptables-蒋智超_第2页
第2页 / 共8页
信息安全-Iptables-蒋智超_第3页
第3页 / 共8页
信息安全-Iptables-蒋智超_第4页
第4页 / 共8页
信息安全-Iptables-蒋智超_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《信息安全-Iptables-蒋智超》由会员分享,可在线阅读,更多相关《信息安全-Iptables-蒋智超(8页珍藏版)》请在金锄头文库上搜索。

1、Iptables一、实目的验1. 理解iptables工作机理2. 熟练掌握iptables包过滤命令及规则3. 学会利用iptables对网络事件进行审计4. 熟练掌握iptables NAT工作原理及实现流程5. 学会利用iptables+squid实现Web应用代理实验内容一包过滤实验操作概述:为了应用iptables的包过滤功能,首先我们将filter链表的所有链规则清 空,并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则,依次允许同组 主机icmp回显请求、Web请求,最后开放信任接口 ethO。iptables操作期间需同组主机进 行操作验证。(1) 清空fi

2、lter链表所有规则链规则。iptables 命令: iptables -t filter -F(2) 同组主机使用/opt/ExpNIS/NetAD-Lab/Tools/portscan/nmap 工具对当前主机进 行端口扫描。nmap端口扫描命令:nmap -sS -T5同组主机IP 。说明nmap具体使用方法可查看实验13丨练习一丨实验原理。查看端口扫描结果,并填写表21-2-1。表 21-2-1(3) 查看INPUT、FORWARD和OUTPUT链默认策略。iptables 命令:iptables -t filter -L 。(4) 将INPUT、FORWARD和OUTPUT链默认策略

3、均设置为DROP。ipt ables 命令:ip tables -P INPUT DROPiptables -P FORWARD DROP iptables -P OUTPUT DROP同组主机利用nmap对当前主机进行端口扫描,查看扫描结果,并利用ping命令进行连 通性测试。(5) 利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。ICMP回显请求类型8代码0。ICMP回显应答类型0 ;代码0。iptables 命令:iptables -I INPUT -p icmp icmp-type 8/0 -j ACCEPTiptables -I OUTPUT -p icm

4、p icmp-type 0/0 -j ACCEPT利用ping指令测试本机与同组主机的连通性。(6) 对外开放Web服务(默认端口 80/tcp)。iptables 命令:iptables -I INPUT -p tcp dport 80 -j ACCEPTiptables -I OUTPUT -p tcp sport 80 -j ACCEPT同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。(7) 设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables 命令:iptables -A INPUT -i eth0 -j ACCEPTiptables -A

5、 OUTPUT -o eth0 -j ACCEPT同组主机利用nmap对当前主机进行端口扫描,查看扫描结果。二.NET服务器1 确定各接口 IP地址(1) 默认内网IP地址192.168. 0.0/24、外网IP地址202.98.0.0/24。配置完成内网主机 eth0接口 IP地址及默认网关(指向NAT服务器内网接口),NAT服务器eth0和eth1接口 IP 地址,外网主机eth0接口 IP地址,并完成下列问题的填写:内网主机 IP: 192.168. 0.50/24,其默认网关:192.168. 0.150 ;外网主机 IP : 202.98.0.50/24 ;NAT 服务器内网接口 I

6、P: 192.168.0.150/24、外网接口 IP : 202.98. 0.150/24。(2) 内网主机添加静态ARP缓存表项目NAT服务器作为内网主机访问外网的唯一的安全网关,其IP与MAC地址应被绑定到内 网主机的ARP缓存表中,防止内网主机遭受ARP欺骗、IP欺骗等网络行为,添加ARP静态 表项命令如下:例如NAT服务器内网接口的IP地址为192.168.0.50 MAC地址为aa:bb:cc:dd:ee:ff, 则添加静态表项的命令为 arp -s 192.168. 0.50 aa:bb:cc:dd:ee:ff。(3) 内网主机对NAT服务器内网接口进行连通性测试(ping);外

7、网主机对NAT服务器外 网接口进行连通性测试(ping)。2设置iptables规则允许内部网络访问外部网络操作流程首先开启NAT服务器的路由功能(开启网络接口间数据的转发),清空filter 链表全部规则,并设置其默认策略为DROP;继续设置规则允许来自内网的数据流进入外网, 并允许任何返回流量回到内网(数据转发)。(1) NAT服务器开启路由功能。基于安全的考虑,默认情况下Linux路由数据包的功能是关闭的,通过下述命令开启系 统路由功能:(2) 清空filter表规则链内容,并设置filter表INPUT、FORWARD和OUTPUT规则链, 默认策略为禁止。iptables 命令 :i

8、ptables - Fiptables -P INPUT DROPiptables -P FORWARD DROP iptables -P OUTPUT DROP(3) 添加filter表新规则,允许来自内网的数据流进入外网,并允许任何返回流量回 到内网(即实现NAT服务器内部网络接口 ethO与外部网络接口 eth1间的数据转发)。iptables 命令 iptables -A FORWARD -i eth0 -o eth1 -s 192.168. 0.0/24 -d any/0 -j ACCEPTiptables -A FORWARD -m state -state ESTABLISHED

9、,RELATED -j ACCEPT(4) 外网主机启动 snort (/opt/ExpNIS/NetAD-Lab/Tools/ids/snort)以网络嗅探方 式运行(设置过滤器仅监听icmp数据包),snort命令如下:内网主机ping探测外网主机,是否ping通?描述snort捕获数据现象。未ping通。snort捕获数据现象:捕获到了源地址为内网主机IP、目的地址为外网主机IP的ICMP 请求报文,但没有捕获到应答报文。ping 通。捕获到的ICMP请求数据源IP地址是内网主机IP地址。原因:外网主机在未指向默认网关的情况下(同时没有相关路由信息),由于其回显应 答的ICMP数据包目的

10、地址为内网主机IP,与本地网络不处于同一网段,所以该数据包被丢 弃;相反指定了网关,外网主机会将该包发送给网关,即NAT服务器,NAT服务器将此包路 由发送给内网主机。外网主机的默认网关指向NAT服务器的外网接口 ethl,内网主机再次ping探测外网主 机,是否ping通?外网主机停止snort监听(Ctrl+C),观察捕获到的ICMP请求数据,其 源IP地址是,结合先前实验现象,说明原因:。3设置iptables规则通过NAT屏蔽内部网络拓扑结构操作流程:在实现步骤2的操作基础上,继续添加nat表新规则,实现数据包从内网到 外网的源地址转换。(1) 添加nat表新规则,通过网络地址转换实现

11、内网主机访问外网。iptables 命令iptables -t nat -A POSTROUTING -o eth1 -s 192.168. 0.0/24 -d any/0 -j SNATto-source 202.98.0.150iptables -t nat -A POSTROUTING -m state -state ESTABLISHED,RELATED - j ACCEPT 由于步骤2中已经添加了 eth0到eth1的数据转发规则,所以此处不必再填写。(2) 外网主机将默认网关指为空,并重新启动snort捕获ICMP数据。内网主机对外网 主机进行ping探测,是否ping通?外网主机

12、停止snort监听,观察所捕获到ICMP请求数 据,其源IP地址是?解释实验象。ping 通。捕获到ICMP请求数据的源IP地址是:NAT服务器外网接口 IP 。上述现象的原因是:由于NAT服务器对来自内网主机的数据包做了 SNAT,即替换数据 包源IP地址为外网接口 IP,然后再将转换后的数据包发送到外网中。在接收到应答包时, 对数据包进行反向转换,即替换数据包的目的IP地址为内网主机IP,然后再将反向转换后 的数据包发送到内网中。4设置防火墙规则通过NAT实现端口重定向操作流程:在实现步骤3的操作基础上,继续添加nat表新规则,实现数据从外网到内 网的地址转换。(1) 添加nat表新规则,

13、实现80/tcp请求数据从外网到内网的地址转换。iptables 命令iptables -t nat -A PREROUTING -i eth1 - p tcp -dport 80 -s any/0 -d 202.98.0.150 -j DNAT -to-dest 192.168. 0.50iptables -t nat -A PREROUTING -m state -state ESTABLISHED,RELATED -j ACCEPT(2) 完成NAT外网接口 ethl到内网接口 ethO之间的数据转发。iptables 命令iptables -A FORWARD -i ethl -o e

14、thO -s any/0 -d 192.168.0.50 -j ACCEPTiptables -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT(3) NAT服务器停止本机Web服务,具体命令如下:(4) 确定外网主机默认网关指为空内、外网主机均启动snort捕获目的端口为80/tcp 的数据包;外网主机启动Web浏览器,在地址栏中输入:http:/NAT服务器外网接口 IP, 在成功访问到Web页面后,观察snort捕获数据,回答下列问题:L外网主机接收80/tcp会话数据的源、目的IP地址分别是:NAT服务器外网接口 IP 和外网

15、主机IP 。l内网主机接收80/tcp会话数据的源、目的IP地址分别是:外网主机IP和内网主机IP 。l外网主机所访问Web页面来自内网主机。l上述现象的原因是由于NAT服务器对来自外网主机的数据包做了 DNAT,即替换数据包 目的IP地址(也可替换目的端口)为内网主机IP,然后再将转换后的数据包发送到内网中。 在接收到应答包时,对数据包进行反向转换,即替换数据包的源IP地址为NAT服务器外网 接口 IP,然后再将反向转换后的数据包发送到外网中。5允许NAT服务器访问外网主机提供的Web服务回顾步骤1-4,思考下面的问题:实验期间表filter的INPUT和OUTPUT规则链默认策略始终为DROP (禁止数据包流入 和流出),而步骤中也没有为这两个链表进行任何操作,为什么内、外网主机间访问还会成 功呢?(1) NAT服务器启动Web浏览器,访问外网主机Web服务,是否成功?访问不成功。(2) 添加filter表新规则,仅允许NAT服务器本地数据访问外网主机Web服务 (80/tcp)。ipt ables 命令iptables -A OUTPUT -o eth1 -p tcp dport 80 -j ACCEPTiptables -A INPUT -m state -state ESTABLISHED,RELATED

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号