实验五：iptables防火墙实现安全防护和NAT.docx

网络安全与管理实验报告 实验名称： iptables防火墙实现安全防护和NAT 学 院： 计算机学院 专业班级： 计算机科学与技术四班 学 号：姓 名： 罗前 指导教师： 刘衍斌 完成日期： 2017年 5月 8日1、 实验目的1.掌握在iptables中添加、修改和删除规则。2.利用iptables防火墙实现网络安全。二、实验内容1. 网络拓扑图Fire2Fire1192.168.1.0/241.清除预设表filter中所有规则链中和使用者自定链中的规则2设置链的默认策略首先允许所有的包，然后再禁止有危险的包通过防火墙3.列出链中的所有规则，默认只列出filter表4.向链中添加规则：5.使用iptables配置NAT步骤：添加基本的NAT地址转换；添加规则，在这里只添加DROP链，因为默认链全是ACCEPT，防止外网用内网IP欺骗rootbbogpn Desktop# iptables -t nat -A PREROUTING -i eth0 -s 192.168.3.1 -j DROProotbbogpn Desktop# iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.4-j DROProotbbogpn Desktop# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.1 -j DROP允许XP访问web主机 rootbbogpn Desktop# iptables -L -n -vChain INPUT (policy ACCEPT 782 packets, 74731 bytes)pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 72 packets, 12516 bytes) pkts bytes target prot opt in out source destination rootbbogpn Desktop# iptables -t filter -A INPUT -s 192.168.1.1 -d 192.168.2.4 -j ACCEPTrootbbogpn Desktop# iptables -t filter -A INPUT -s 172.16.11.207 -d 192.168.2.4 -j DROProotbbogpn Desktop# iptables -t filter -L -n -v Chain INPUT (policy ACCEPT 53 packets, 4997 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all - * * 192.168.1.1 192.168.2.4 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 29 packets, 4152 bytes) pkts bytes target prot opt in out source destination rootbbogpn Desktop# ssh root192.168.2.4The authenticity of host 192.168.2.4 (192.168.2.4) cant be established.ECDSA key fingerprint is d8:88:76:ef:30:e0:f5:f7:4b:a2:63:51:55:2e:74:28.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added 192.168.2.4 (ECDSA) to the list of known hosts.root192.168.2.4s password: There was 1 failed login attempt since the last successful login.rootbbogpn Desktop# ip addr2: eno16777736: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:4d:a0:50 brd ff:ff:ff:ff:ff:ff inet 192.168.1.0/24 brd 172.16.255.255 scope global eno16777736 valid_lft forever preferred_lft forever inet6 fe80:20c:29ff:fe4d:a050/64 scope link valid_lft forever preferred_lft forever实验结果：发现可以ping通，实验成功。 4、 实验总结 通过本次的实验，通过本次试验，了解了iptables防火墙架构部署与配置的一些基础知识，学习到了iptables防火墙架构相关的服务器操作。学习到了设置iptables防火墙架构的相关内容，特别时熟悉了NAT表中几个规则链的意义，其中PREROUTING 中的DNAT操作是通过一个合法的公网IP地址，通过对防火墙的访问，重定向到防火墙内部的其他计算机，也就是通过访问防火墙改变了访问的目的地址，让数据包能够重定向到指定的主机。在实验过程中，通过学习我知道了iptables其实是工作在用户态的，ne