信息安全实验报告Linux下的防火墙配置.docx

【实验6】使用iptables实现防火墙实验目的：1.掌握iptables命令的语法。2,掌握Linux下防火墙的配置。二、【实验环境】1. 虚拟机软件VM Ware 6.0, Redhat Enterprise Linux虚拟机或光盘镜像文件。2. 3台以上机器组成的局域网。三、实验内容：某单位由于业务需要，假设了 3台服务器，分别提供WWW服务、FTP 服务和电子邮件服务。该单位拥有一个局域网，IP地址范围是192.168.1.0/24；使用一台Linux主机配置 包过滤防火墙以保护内部网络的安全，该Linux主机有两个网络接口：eth0： 192.168.1.1，用于连接内网。Eth1： 218.98.1.26，用于连接外网（internet）。三台服务器的IP地址分别为：WWW 服务器：192.168.1.11FTP 服务器：192.168.1.12电子邮件服务器：192.168.1.13WWW192.168.1.11FTP192.168.1.12E-mail192.168.1.13这个实验中以虚拟机模拟Linux防火墙 四、实验步骤1、配置内网和外网接口的网络参数内网接口 eth0： 192.168.1.1 子网掩码：255.255.255.0外网接口 eth0： 218.98.1.26 子网掩码：255.255.255.02、后台服务|股需服务©)这些服务被启动过一次，并在后台运 行。你可以指定启动它的运行等级。目前运行的级别是：59 O斜开始停止重启编辑运行级别：5描述Activates/Deactivates all network interfaces configured to start at boot time.mdmonitormdmpdmessagebusmicrocode ctlmysqld状态崛置设苗：Io ethtest当前的活跃设畚:Io ethOiiiiiiiiiiiiiiiiiiiinetfsnetplugd建立脚本文件，使防火墙在Linux启动时自动运行。在/etc/rc.d目录下建立一个名为“filter-firewall”的文件;打开/etc/rc.d目录下的rc.local文件，在最后一行添加：/etc/rc.d/filter-firewall保存，退出。文件E)编辑© 查看口 终端标签幕助=!/b i n/sh= I i i s script will be exec nted *af ter * a 1 1 the ether i n i t scr i. pts- Yo ii can put ycur own i n i t i a 1 i zat ion stuff in here i f yon don't =wa n t tc do Hie full Sys V style i n i t stuff.touch /var/lock/snbsys/1oca I/etc/rc . d/i' i I ter-f i rewa 1 Irootocahostr-文件(£)编辑© 查看终端标签帮助.rootiilcca 1 host、|二 touch /etc/rc . d/f i 1 ter-T i rewa 1 I.root<i lcca 1 hes t二 v i /etc/rc . d/rc . I oca I.root<&'lcca 1 hest " | = B3、刷新所有规则链：rootlocalhost # iptalbes -F 4、禁止转发任何包。rootlocalhost # iptalbes -P FORWARD DROP5、设置防火墙的包过滤规则：(1) WWW服务器：IP地址为192.168.1.11,端口为80,使用的协议为TCP 或者UDP，允许符合这些要求的数据包通过：iptables -A FORWARD -p tcp -d 192.168.1.11 dport www -i eth0 -j ACCEPT(2)FTP服务器：IP地址为192.168.1.12,端口为20和21，使用的协议为TCP，允许符合这些要求的数据包通过：iptables -A FORWARD -p tcp -d 192.168.1.12 -dport ftp -i eth0 -j ACCEPT（3）邮件服务器：IP地址为192.168.1.13,端口为25和110，使用的协议为TCP，允许符合这些要求的数据包通过：iptables -A FORWARD -p tcp -d 192.168.1.13 -dport smtp -i eth0 -j ACCEPTiptables -A FORWARD -p tcp -d 192.168.1.13 一dport pop3 -i eth0 -j ACCEPT文件归编辑归查看。终端标签帮助1.rcc L 伽 Idea 1 lie st hO -j ACClfl'T .rcct<i'lcca 1 lie st hO -j ACC：1' .rcctrices 1 lies t LhO -j ACC：1' .rcc H&'lcca 1 lie st|- iptablesi ptablesi ptablesiptables-A FORWARD -p tcp -dFORWARD -p tcp -d:ORWARD -p tcp -dFORWARD -p tcp -d192.168.1.11192.168.1.12192.168.1.13192.168.1 . 13dport www -i etd pertd pertd pertftp -i etsmtp -i epo p3 -i ethO -J ACCEPTrootlocalhost #4、思考题：（1）防火墙的主要作用是什么？（1）防火墙是保全决策的重点防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、唯一的检查点， 在网路安全防护上，防火墙提供非常大的杠杆效益，因为它把安全措施集中在这个检查 点上。（2）防火墙可以执行保全政策防火墙强制执行站台的保全政策，只让核准的服务通过，而这些服务设定在 Policy 中。（3）防火墙能有效率的记录Internet的活动由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的最 佳地点。（4）防火墙可以减少网路暴露的危机防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响 到内部主机的安全。（2）防火墙能防范内网用户的攻击吗，为什么？答：不能防范。因为防火墙的位置在内网与外网之间，它有以下四点：1：不能防范内部人员的攻击；2、不能防范绕过他的连接（内部机器被控制）3、不能防备全部的威胁（如dos攻击）4、不能防范恶意程序。 如果在内网主机中想架设一个web服务供外界访问，能否通过防 火墙配置实现，如何设置？第一步：基本配置Routerl （config）#hostname lan-routerLan-router(config)#interface fa 1/0Lan-router(config-if)#exitLan-router(config)#int serial 1/2Lan-router(config-if)#ip address 200.1.8.7 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exitinternet-router(config)#int fa 1/0internet-router(config-if)#ip address 63.19.6.1 255.255.255.0internet-router(config-if)#no shutdowninternet-router(config-if)#exitinternet-router(config)#int serial 1/2internet-router(config-if)#ip address 200.1.8.8 255.255.255.0internet-router(config-if)#clock rate 64000internet-router(config-if)#no shinternet-router(config-if)#endLan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2第二步：配置反向NAT映射Lan-router(config)#int fa 1/0Lan-router(config-if)#ip nat insideLan-router(config-if)#exitLan-router(config)#int serial 1/2Lan-router(config-if)#ip nat outsideLan-router(config)#ip nat pool web_server 172.16.8.5 172.16.8.5 netmask 255.255.255.0定义内网服务器地址池Lan-router(config)#access-list 3 permit host 200.1.8.7定义外网的公网ip地址Lan-router(config)#ip nat inside destination list pool web_server/将外网的公网ip地址转换为web服务器地址Lan-router(config)#ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80定义访问外网ip的80端口时转换为内网的服务器ip的80端口第三步：验证测试1、在内网主机配置web服务2、在外网的1台主机通过ie浏览器访问内网的web服务器3、查看路由器的地址转换记录Lan-router#sh ip nat translations