信息安全-Iptables-蒋智超.doc

Iptables 一、实目的验 1.理解iptables工作机理 2.熟练掌握iptables包过滤命令及规则 3.学会利用iptables对网络事件进行审计 4.熟练掌握iptables NAT工作原理及实现流程 5.学会利用iptables+squid实现Web应用代理 实验内容 一．包过滤实验 操作概述：为了应用iptables的包过滤功能，首先我们将filter链表的所有链规则清空，并设置链表默认策略为DROP(禁止)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。 （1）清空filter链表所有规则链规则。 iptables命令 : iptables -t filter -F （2）同组主机使用/opt/ExpNIS/NetAD-Lab/Tools/portscan/nmap工具对当前主机进行端口扫描。 nmap端口扫描命令: nmap -sS -T5 同组主机IP 。 「说明」 nmap具体使用方法可查看实验13｜练习一｜实验原理。 查看端口扫描结果，并填写表21-2-1。 表21-2-1 （3）查看INPUT、FORWARD和OUTPUT链默认策略。 iptables命令 : iptables -t filter -L 。 （4）将INPUT、FORWARD和OUTPUT链默认策略均设置为DROP。 iptables命令：iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果，并利用ping命令进行连通性测试。 （5）利用功能扩展命令选项(ICMP)设置防火墙仅允许ICMP回显请求及回显应答。 ICMP回显请求类型8；代码 0 。 ICMP回显应答类型0 ；代码0 。 iptables命令 ：iptables -I INPUT -p icmp --icmp-type 8/0 -j ACCEPT iptables -I OUTPUT -p icmp --icmp-type 0/0 -j ACCEPT 利用ping指令测试本机与同组主机的连通性。 （6）对外开放Web服务(默认端口80/tcp)。 iptables命令：iptables -I INPUT -p tcp --dport 80 -j ACCEPT iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。 （7）设置防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。 iptables命令：iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT 同组主机利用nmap对当前主机进行端口扫描，查看扫描结果。 二．NET服务器 1．确定各接口IP地址 （1）默认内网IP地址/24、外网IP地址/24。配置完成内网主机eth0接口IP地址及默认网关(指向NAT服务器内网接口)，NAT服务器eth0和eth1接口IP地址，外网主机eth0接口IP地址，并完成下列问题的填写： 内网主机IP： 0/24，其默认网关：50 ； 外网主机IP ：0/24 ； ； NAT服务器内网接口IP：50/24、外网接口IP ：50/24。 （2）内网主机添加静态ARP缓存表项目 NAT服务器作为内网主机访问外网的唯一的安全网关，其IP与MAC地址应被绑定到内网主机的ARP缓存表中，防止内网主机遭受ARP欺骗、IP欺骗等网络行为，添加ARP静态表项命令如下： 例如NAT服务器内网接口的IP地址为0，MAC地址为aa:bb:cc:dd:ee:ff，则添加静态表项的命令为arp -s 0 aa:bb:cc:dd:ee:ff。 （3）内网主机对NAT服务器内网接口进行连通性测试（ping）；外网主机对NAT服务器外网接口进行连通性测试（ping）。 2．设置iptables规则允许内部网络访问外部网络 操作流程：首先开