《实验四:iptables实验环境搭建》由会员分享,可在线阅读,更多相关《实验四:iptables实验环境搭建(9页珍藏版)》请在金锄头文库上搜索。
1、网络安全与管理实验报告实验名称:iptables防火墙实验环境的搭建学院:计算机学院 专业班级:计算机科学与技术四班 学号:14142400808姓名:罗前 指导教师:刘衍斌完成日期:2017 年 5 月 7 日一实验目的:完成 iptables 防火墙环境的搭建,为后面学习 iptables 规则做准备 实验使用环境:VMware , RedHatlinux,四台客户机(window操作系统)二实验原理:1.Iptables 工作机理:netfilter/iptables (简称为iptables )组成Linux平台下的包过滤防火墙, 与大多数的Linux软件一样,这个包过滤防火墙是免费的
2、,它可以代替昂贵的商 业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT )等功能。 规则(rules )其实就是网络管理员预定义的条件,规则一般的定义为“如果数据 包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过 滤表中,这些规则分别指定了源地址、目的地址、传输协议(如 TCP、 UDP、 ICMP )和服务类型(如HTTP、FTP和SMTP )等。当数据包与规则匹配时。 iptables就根据规则所定义的方法来处理这些数据包,如放行(accept )拒绝 (reject)和丢弃(drop )等。配置防火墙的主要工作就是添加、修改和删除这 些规则。三实验
3、内容:安装好虚拟机,配置安装好的RadHatLinux,修改网卡模式为NAT模式, 按照下图拓扑图配置,iptables假设在Linux路由器上对整个网络进行安全防护,Linux 作为独立的防火墙系统,处于外网和局域网之间,由于防火墙架设在路由器上面,因此可以对进入局域网的所有数据包进行过滤处理,同时也可以对局域网内主机进行访问限制。主机IP 地址功用Fire2192.168.2.2,192.168.1.112控制整个网段的数据报文的流入流出及过滤DNS192.168.2.3提供 DNS 服务FTP192.168.2.5提供FTP服务Web192.168.2.4提供 web 服务除了 fire
4、 主机其他主机都关闭 iptablesWin xp 的 IP 地址配置:LqcslI Area Connection StatusGeneral BuppatI onnection statijsAddreea T.ype:Manualhj ConfiguredLJ IFAddress:192.1681.1Subnet Mask:255.255255.0Defadt G-steway:192.163.1.1主机均设置静态的 IP 地址即可。3.虚拟网络及 Linux 主机的配置(1) 虚拟网络配置:S.虚J以爾窄编栢器x茗称外部连接主析连崔CHCP子网也址VMneto栉接模式自动桥接-VMne
5、tl仅王机-已连接t!启E192.168.13B.0vwniets阳T模式跆丁模式已连接已启用192.1BS.79.0洒加朗络E.移除网络竺VMnet -邑揑0斷接模式(将虚拟机直接连接到外部网络XI町柠懂到(T):自动吕动iSS(U).i NAT槿T.,:月堰J;1HU享主王的IP电上;狗NAT设呂O戈主机桓代(苻专托偲塔内芒接虚陷叭】申; 叼将主机虚拟适配器连接到此朗络如主机昙H乖器石称:VMware网堵话西己器VMnetSE 吏圧本地DHCP限劣捋IP地t|卽给击羽和吋DHCF设H(PJ.工 F :| M2 一 168 .西、0 |子氓掩們(M: | 药5.255 , 255 , Q还履
6、轉认设蛊(R)薙取消应用出帮助(2 )在iptables主机中打开数据包转发功能:修改/ect/sysctl.conf找到net,ipv4.ip_forward把0改成1。然后重启主机File Edit view search T&nninal Heip# Kernel sysctl con-iguration file for Red Hat Linux# For binary values, o 丄e disabled, 1 is enabled. see syscllfs) and# sysctlrconf(5) for more details.# controls IP packet
7、 Torvarding net.ipv4.ip_forward = 1| # Controls source route verification net. ipv斗.rar-tkf白uLt, rp filter = L# Do noT accept source rottingnet.ipv4.corf.defbuLt.accept source route = B養 Controls the System Reqiest debugging functionality of the kernel kernel.sysrq - 0卡 Contrcils whethti- core duirp
8、s ll append the FID to the core filename.# Useful for debugging irulti-threaded applicEstions. kernel.core uses pid = 1# Controls the use of TCF syncookiesnet.ip#4.tcp syncookies = 1-TMSFRT - - W1R: UArn nn : ChAnn 1 nn a i parinnl j f Ip7 .34Ttim当 iptables 主机设置转发后( iptables 服务启动,没有手动做规则), 拓扑图的两个网段能
9、够 ping 通。(3)Linux 网卡的配置:使用vi编辑器,修改各个网卡中的IP和网关,设置ip地址获取方式为静态命令:vi /etc/sysconfig/network-scripts/ifcfg-ethO(网卡编号)配置完后用命令service network restart重启网络服务即可读取出修改后的配置F图为Linux2主机ethO的配置:因vampirebog on;/etc/sysconfig/network-scriptafile Edit View Search lerminal 廿巳IpDEVrCF=etb0BOOTPROTOstat.cHWADDR=09:0C:29:
10、B9:AE:5CMTU=1500NH_CONTROLLED=yesONBOOT=yesIPADDR192.16B.3.1NETMASK=255.255.255.0GATtEWA=192.168.3.11Iptables 主机的网卡信息:vanipirebogon Desk top* ifconfigethO i Ink encap:Ethernet HWddflr 00:OC:29:B9:AH:5Cilet addr :192.163.79.131 Beast: 192.168.79.255 Mask: 233.233.253.4 inetB addr: fe80:20c:29ff:feb9:
11、ae5c/64 Scope:LinkUP BROADCAST RUNNING MULTICAST NW: 1560 Metric: 1RX packets;1463 errors;0 dropped;9 overruns;0 frare;S TX packets:90 errors:0 dropped:G aver runs:0 carrier:0 collisions txqueuelen: 1B-0GRX bytes;9554G (93.3 KiB) TX bytes;16743 (16.3 KlBIloLink encap:Local Loopbackinet addr ;:127.0.
12、O.l Mask; 255.9 . S .fl inetG addr: :1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:!RX packets;IS errors;Q cropped;0 overruns:Q frame;fl TX packets:10 errors:0 dropped:G aver runs:0 carrier:0 collisions:0 txqueu已Lin:RX bytes;57B (578.G b) TX bytes;576 (578.0 b)(4)查看 iptables 的信息:chnin input
13、(policy accept)targetprot opt sourcedestinationACCEPTall - anywhereanywherestate RELATED JESTLI5HEDACCEPTiemp - anywheresanywhereACCEPTall - anywhereanywhereACCEPT c ht匚卩 - anywhereanywherestate NEW tep dptREJECTall - anywhereanywherereject-with iemp-st-pohihitEdrhAin FomRD (policy accepttargetprot
14、opt sourceREJECTall - anywhereirt-unreachabledestiniatiDn anywherereject-with iemp-chain output (policy accepttargetprot opt sourcedestinationACCEPTall - anvwtiereanywhereComputetVEmpircs Home环境配置完成。Windows 7I . uJLkdi linuxBT5R1-GNOME-VM-32 -iCTF 2011 ServerBT5R3-GNOME-VM-32 h/letasploiteble_uibuntL p OWASP Broken Web A r Win2K3 Metasploitabk四、实验测试分别用xp客户机和web主机相互ping对方的ip,观察是否ping通IC:XDociimcnts mnd! Set t incfsMlduiiin istrato j*jpingj.IBS 2 4iPjTiging 192.16.8_2_4 ulfch 32cf data:pepfron 1921.石EL24:= bytes-32 mcln3HejXlp fpoh 192.166,2.4; bytes=32 timelras pepfFon 12b16B .2 _4- byt:
