返回
Iptables防火墙实验-孙斌.doc

Iptables防火墙实验-孙斌.doc

ID:50813748

大小:1.84 MB

页数:7页

时间:2020-03-14

Iptables防火墙实验-孙斌.doc_第1页
Iptables防火墙实验-孙斌.doc_第2页
Iptables防火墙实验-孙斌.doc_第3页
Iptables防火墙实验-孙斌.doc_第4页
Iptables防火墙实验-孙斌.doc_第5页
资源描述:

《Iptables防火墙实验-孙斌.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、实验四Iptables防火墙(一)教学要求Iptables是Linux提供的一个非常优秀的防火墙工具,学生通过该实验,应掌握Iptables工作机理,了解Iptables包过滤命令及规则,学会利用Iptables对网络事件进行审计,了解IptablesNAT工作原理及实现流程,学会利用Iptables+squid实现Web应用代理。(二)主要知识点重点:1.Iptables工作机理:netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向

2、和网络地址转换(NAT)等功能。规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。2.IptablesNAT工作原理及实现流程:完成nat的实现,数据要经过prerouting—f

3、orword--postrouting这3个链。首先进入prerouting,发现不是本网段的地址,而后开始查找路由表(查找路由的过程在prerouting和forword之间),于是经过forword链进行转发,在通过postrouting时进行NAT转换。在这个流程中,NAT转换的步骤在postrouting链上实现,之所以不再prerouting上做nat是因为数据包在进来之前,还不知道是本网段地址还是外网地址。在DNAT中,NAT要在prerouting链上做。在数据进入主机后,路由选择过程是在prerouting和forword之间的,所以应该先做地址转换之后,再进行路由选择,而后经

4、过forword,最后从postrouting出去。Iptables规则简介:Iptable[-t表]命令选项[连名] 匹配条件 [-j动作]常用命令选项如下:-A【append】在指定的连的结尾添加规则-D【delete】删除指定连中的规则,可以按规则号或规则内容匹配-I【insert】插入一条新规则,默认是在最前面-R【replace】替换某一条规则-L【list】列出所有规则-F【flush】清空所有规则-N【new】自定义一条规则连-X【--delete-chain】 删除用户自定义规则连-P【policy】设置默认策略-n【numeric】以数字方式显示,如:显示ip,但不显示主机名

5、-v【verbose】显示详细信息-V【version】查看iptable的版本信息--line-number 查看规则连是,显示列表号 -Z  清空计数器值(三)实验内容1.对来自某个源、到某个目的地或具有特定协议类型的数据包进行转发、丢弃等具体操作,实现对数据包的过滤并保存过滤规则。实现:我们以最常见的ping命令来做这个实验:Ping命令简介:PING(PacketInternetGroper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP(InternetControlMessagesProtocol)即因特网信报控制协议;回声请求消息给目的地并报告是否收到所希望

6、的ICMPecho(ICMP回声应答)。它是用来检查网络是否通畅或者网络连接速度的命令。Ping原理:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。实验目标:可以PING别人,但是别人不能PING自己。实验原理:防火墙的规则都是双向的,而且ping使用的是ICMP报文,他的ICMPtype为8,而它的响应ICMP报文的type为0,我们要实现以上功能,只需要让ICMPtype8报文进不来,但出得去;让ICMPtype0报文出不去,但进得来就可以了。实验:1)初始准备:Ip:Ping情况:外部:自己:规

7、则表:默认接收,其余为空1)设置默认规则:首先将出入都设为默认拒绝所有报文(为了不影响其他服务,主要为ICMP报文)Ping情况:自己外部:2)实现功能的规则配置:规则:规则表:1)检验结果:2)保存修改:首先,保存现有的规则:iptables-save>/etc/iptables.rules然后新建一个bash脚本,并保存到/etc/network/if-pre-up.d/目录下:#!/bin/

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。