Linux系统iptables防火墙 实验指导书.doc

网络安全实验指导书Linux系统iptables防火墙一、实验目的1、熟悉和掌握TCP/IP协议的基础概念和方法；2、掌握防火墙的概念、功能分类及实现方法；3、掌握Linux系统防火墙和iptables防火墙的配置方法。二、实验原理1、防火墙的任务防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标，而每个目标通常都不是一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的需求。防火墙要能满足以下四个目标：1 实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略，比如你的安全策略需要对MAIL服务器的SMTP流量做限制，那么你要在防火墙上强制这些策略。2 创建一个阻塞点防火墙在一个公司的私有网络和分网间建立一个检查点。这种实现要求所有的流量都要经过这个检查点。一旦检查点被建立，防火墙就可以监视，过滤和检查所有进出的流量。网络安全中称为阻塞点。通过强制所有进出的流量都通过这些检查点，管理员可以集中在较少的地方来实现安全目的。3 记录internet活动防火墙还能强制记录日志，并且提供警报功能。通过在防火墙上实现日志服务，管理员可以监视所有从外部网或互联网的访问。好的日志是适当网络安全的有效工具之一。4 限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进入的流量进行检查，以限制从外部发动的攻击。2、iptables及其命令格式iptables是Linux 2.4.X 的内核防火墙，其工作原理为对经过网络模块的数据包的处理，各数据包按流经位置进入相应的规则链，iptables逐条对比链内的规则，如果满足条件，则进行相应的动作。其配置文件为/etc/sysconfig/iptables。命令格式： iptables 指令+规则链+条件+动作l iptables指令（对规则链的操作）nA chain -append 添加到规则链中nD chain -delete 从规则链中删除匹配的规则nLchain -list 列出在一条链或所有链上的规则 (-line-numbers)nF chain -flush 清除一条链或所有链上的规则n-P chain target -policy 把一个规则链上的策略改变为目标niptables内置有三个表filter、nat、mangle，缺省为filter表，可使用-t参数来选择操作的表，用户可自定义表l iptables规则链（chain）进来的数据包路由本机发出的数据包FORWARDINPUTOUTPUT l Iptables条件n-s IP地址 源地址n-d IP地址 目的地址n-i 接口名 接收的接口n-o 接口名 发送的接口n-p tcp/udp/icmp/47 协议n-dport 目的端口n-sport 源端口n-syn 建立连接请求n-m state ESTABLISHED / RELATED / NEW / INVALID 状态包过滤 l iptables动作（policy）（对数据包的操作）n -j ACCEPTn -j DROPn -j REJECT（ tcp-reset/icmp-port-unreachable ）三、实验步骤1、 准备工作l 同一局域网内的2台PCa) A的操作系统为Linux，在A安装网络服务及配置iptables；b) B对A的配置进行验证，主要使用基于icmp协议的ping命令和基于tcp协议的ftp相关命令或软件，假定其ip为23。l 在A：1)安装vsftpd2)增加1个一般用户，如abc3)添加新增用户为ftp用户gedit /etc/vsftpd/vsftpd.conf，加入userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd/ulisgedit /etc/vsftpd/ulis，加入abc4)验证系统已打开iptables （默认）system setting - server setting - service config - iptablesl 熟悉使用netstat命令分析当前的网络连接状态2、 配置Linux的系统防火墙1） A: start - system setting - security level - enable ftp(only)，允许系统建立ftp连接2） B: ftp测试之 （使用user psw ls lcd get等命令）3） A: start - system setting - security level - disable ftp，禁止系统建立ftp连接4） B测试之3、 使用iptables命令配置防火墙，熟悉几类基本过滤原则的配置方法（有关ftp的操作，必须确认系统防火墙允许建立ftp连接，因其优先级高于iptables配置）0 备份 /etc/sysconfig/iptables1 阻塞某IP的连接A: 阻塞# iptables -A INPUT -s 23 -j DROPB: ping，测试之A: 取消阻塞# iptables -D INPUT -s 23 -j DROPB: ping，测试之（以下只列出实验过程的关键步骤，其他命令与测试请在实验过程中补足）2阻塞某网段的连接A: # iptables -A INPUT -s /24 -j DROPA: # iptables -D INPUT -s /24 -j DROP3阻塞某协议的连接，如icmpA:# iptables -A INPUT -p icmp -j DROPB: ping，测试之A:# iptables -D INPUT -p icmp -j DROP4 阻塞某端口的连接，如ftpcmd使用的21端口A:# iptables -A INPUT -p tcp -dport 21 -j DROPB: ftp，测试之A:# iptables -D INPUT -p tcp -dport 21 -j DROP5阻塞连接请求（选做，须较熟悉ftp模式；因系统已允许ftp的命令连接，iptables只能控制数据连接，即非21端口的建立）5.1 阻塞本机到外部的连接A:# iptables -A OUTPUT -p tcp -syn -j DROPB: ftp，使用port模式get文件（port模式：服务器发起数据连接）A:# iptables -D OUTPUT -p tcp -syn -j DROP5.2阻塞本机到外部的连接-2A:# iptables -A OUTPUT -p tcp -syn -j DROPA: 尝试使用其他方法主动连接B的服务A:# iptables -D OUTPUT -p tcp -syn -j DROP5.3 阻塞外部主机到本机的连接A:# iptables -A INPUT -p tcp -syn -j DROPB: ftp，使用pasv模式get文件（pasv模式：客户端发起数据连接）A:# iptables -D INPUT -p tcp -syn -j DROP 6选择以上若干实验步骤，使用iptables动作REJECT代替DROP，比较它们的区别，思考使用DROP的优点。7（选学）从iptables参考手册 选学-m state、-m limit、-m mac、-m owne