实验九 防火墙和NAT服务器配置.doc

实验九 防火墙和NAT服务器配置 班级：姓名：学号： 一 实验目的：通过实验理解防火墙和NAT服务器的基本概念，并且能够在linux操作系统下通过iptables 配置filter表和nat表。二 实验环境： Redhat enterprise 5操作系统，局域网，互联网。三包过滤配置：1.在linux上配置防火墙，只开放80端口，并且使得linux可以 访问其他计算机的web服务。a. 设置filter表的INPUT链的默认策略为丢弃数据包:iptables P INPUT DROPb. 开放web服务:iptables A INPUT p tcp -dport 80 j ACCEPT c. 允许其他主机的ESTABLISHED包：iptables A INPUT m state -state ESTABLISHED j ACCEPT.d. 设置filter表的OUTPUT链的默认策略会接收数据包：iptables P OUTPUT ACCEPTe. 对上述防火墙进行验证。可以访问其它电脑的web服务器2. 在linux上配置防火墙，允许其他计算机对本机进行passive模式的ftp访问。a.加载模块：modprobe ip_conntrack_ftpb.设置filter表的INPUT链的默认策略为丢弃数据包:iptables P INPUT DROPc.允许其他计算机连接本机21端口：iptables A INPUTp tcp m state -state NEW -dport 21 j ACCEPTd.允许ESTABLISHED，RELATED 状态的数据包到达本机：iptables A INPUT m state -state ESTABLISHED，RELATED j ACCEPTe.允许所有的数据包输出 iptables A OUTPUT p all j ACCEPTf. 对上述防火墙进行验证。g. 去除d步骤中的RELATED参数，看看结果有什么不同？如果去掉RELAEED则不能完成ftp的 3.智能dnsa. 开启内核的ip转发功能：echo “1” /proc/sys/net/ipv4/ip_forwardb.把用户的解析域名请求发送到的udp端口53：iptables -t nat -I OUTPUT -p udp -dport 53 -j DNAT -to-destination :53c.对上述防火墙进行验证。4. 拒绝所有的icmp包:iptables A INPUT p icmp j DROP5. 拒绝本机访问的站点：iptables A OUTPUT d j DROP6. 拒绝所有的计算机访问本机的任何服务：iptables -A INPUT -i eth0 -p tcp -syn m state -state NEW -j DROP7.禁止winxp主机的任何数据包：a. 开启内核的ip转发功能：echo “1” /proc/sys/net/ipv4/ip_forwardb.iptables -t nat -I PREROUTING -m mac -mac-source 4C:00:10:D8:57:F3 -j DROP (注意MAC地址修改成自己计算机的winxp的MAC地址)8.a.保存iptables：iptables-save /etc/iptables.ruleb.恢复iptables: iptables-restore /proc/sys/net/ipv4/ip_forwardb.iptables t nat A OUTPUT p tcp -dport 80 j DNAT -to 2110.a.创建用户自定义的链iptables -N MYINPUTb.将任何进入电脑的包转发到自定义的链进行过滤:iptables -A INPUT -j MYINPUT c.iptables -A MYINPUT -p icmp -j ACCEPT d.此时再输入命令 ping ，结果还会和刚才相同吗？11. a.运行：tracert b.丢弃RELATED状态的数据包：iptables -A INPUT -p tcp -m state -state RELATED -j DROP c.再运行tracert 看看有什么结果？四、NAT配置某企业内部网使用/24网段的ip地址， web服务器的ip地址为00，为该web服务器分配的公网ip：00.使用一台linux服务器完成网关/防火墙的功能,由该服务器连接内部局域网和外部网络.网关的地址eth0:52和eth1：00.DNS使用ISP提供的5。在网关上安装防火墙，采用netfilter/iptables软件，假设各个表中的链的默认策略为拒绝访问，已经做了基本的配置，现在需要增加一些策略。请根据下面要求，进行配置，并记录配置过程（拓扑结构自行设计）。（1） 禁止内部局域网访问。（2） 允许防火墙主机ping互联网上的计算机，不允许互联网上的电脑ping防火墙主机。（3） 允许互联网上的计算机访问内网的web服务器。（4） 禁止内网计算机以主动模式和被动模式访问互联网的ftp服务器。根据下面要求，进行配置，并记录配置过程（拓扑结构自行设计）。（1）禁止内部局域网访问。 iptables t filter A FORWARD s /24 d j DROP（2）允许防火墙主机ping互联网上的计算机，不允许互联网上的电脑ping防火墙主机。iptables t filter A OUTPUT p icmp j ACCEPTiptables A INPUT p icmp m state -state ESTABLISHED j ACCEPTiptables t filter A INPUT p icmp m state -state NEW j drop（3） 允许互联网上的计算机访问内网的web服务器。iptables-t nat -A POSTROUTING -o eth0 -s 00 -j SNAT -to 00iptables t filter A FORWARD d 00 j ACCEPT（4）禁止内网计算机