信息安全综合实验

信息安全综合实验张焕杰中国科学技术大学网络信息中心james@0/~james/nmsTel:3601897(O)1.第一章防火墙原理及其基本配置课程目的学习包过滤防火墙基本原理简单理解Linuxkernel2.4.*中的netfilter/iptables框架熟悉iptables配置2.1.1包过滤防火墙原理包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。外在表现：路由型、透明网桥型、混合型优点：性能高，对应用透明，使用方便缺点：安全控制粒度不够细3.包过滤防火墙规则条件动作序列条件源地址、目的地址、协议、端口、协议内部数据、时间、物理接口动作ACCEPT允许DROP直接丢弃REJECTtcp-reset/icmp-port-unreachableLOG日志4.包过滤防火墙有先后关系数据包的处理接收到数据包逐条对比规则如果满足条件，则进行相应的动作，如果动作不是ACCEPT/DROP/REJECT，继续处理后面的规则5.1.2LinuxKernel中的包过滤防火墙Ipfw/ipfwadm2.0.*中使用移植于BSD的ipfw缺点：包过滤、NAT等代码混杂在整个网络相关代码中Ipchains2.2.*中使用Netfilter/iptables2.4.*/模块化6.Netfilter/iptablesNetfilter是Linuxkernel中对数据包进行处理的框架定义了5个HOOK位置NF_IP_PRE_ROUTINGNF_IP_LOCAL_INNF_IP_FORWARDNF_IP_POST_ROUTINGNF_IP_LOCAL_OUT7.5个HOOK位置8.netfilter结果NF_ACCEPT:continuetraversalasnormal.NF_DROP:dropthepacket;don'tcontinuetraversal.NF_STOLEN:I'vetakenoverthepacket;don'tcontinuetraversal.NF_QUEUE:queuethepacket(usuallyforuserspacehandling).NF_REPEAT:callthishookagain.9.NetfilterIptables是netfilter上的应用程序natmanglefilter10.Netfilter/iptables可以实现完整的基于连接跟踪的包过滤防火墙支持包过滤，双向地址转换一般是路由型的使用ebtables中的bridge+nfpatch可以表现为网桥型的/11.1.3iptables配置包过滤INPUT/OUTPUT/FORWARD三个规则链可以增加自定义规则链iptables–Nxxx命令格式iptables–L–nv显示iptables–F规则链名清空规则链iptables–A规则链名规则增加规则iptables–I规则链名规则插入规则iptables–D规则链名规则删除规则iptables–D规则链名规则编号12.包过滤规则-j动作….条件动作为：ACCEPT接受数据包DROP丢弃数据包RETURN从当前规则链返回LOG日志，用dmesg可以看到REJECTSNAT/DNAT等13.包过滤条件-sIP地址源地址-dIP地址目的地址-i接口名接收的接口-o接口名发送的接口-mstate--state状态状态包过滤ESTABLISHEDRELATEDNEWINVALID-ptcp/udp/icmp/47协议--dport目的端口--sport源端口14.实验建议编辑如下文件，命名为ipt，并用chmoda+xipt每次试验时用命令./ipt执行，文件内容为#!/bin/shIPT=iptables$IPT–F$IPT….$IPT–L–nv15.实验一Iptables–FPing执行如下命令$IPT–AINPUT–jLOG–s$IPT–AINPUT–jDROP–sping看是否通？用dmesg能看到什么？Iptables–L–nv能看到什么？为什么？16.实验二让你的机器只能telnet(BBS)$IPT–AOUTPUT–jACCEPT–d–ptcp–dport23$IPT–AOUTPUT–jLOG$IPT–AOUTPUT–jDROP$IPT–AINPUT–jACCEPT–s–ptcp–mtcp--sport23--dport1024:65535!--syn$IPT–AINPUT–jLOG$IPT–AINPUT–jDROP17.实验三连接跟踪文件/proc/net/ip_conntrack是否存在？如果不存在，执行命令modprobeip_conntrack文件/proc/net/ip_conntrack的内容有什么？more/proc/net/ip_conntrackdmesg显示最多支持多少session?lsmod增加了什么模块18.实验四让你的机器只能telnet(BBS)$IPT–AOUTPUT–jACCEPT–d–ptcp--dport23$IPT–AOUTPUT–jLOG$IPT–AOUTPUT–jDROP$IPT–AINPUT–jACCEPT–mstate--stateESTABLISHED,RELATED$IPT–AINPUT–jLOG$IPT–AINPUT–jDROP19.实验五让你的机器只能ftp0$IPT–AOUTPUT–jACCEPT–mstate--stateESTABLISHED,RELATED$IPT–AOUTPUT–jACCEPT–d0–ptcp--dport21$IPT–AOUTPUT–jLOG$IPT–AOUTPUT–jDROP$IPT–AINPUT–jACCEPT–mstate--stateESTABLISHED,RELATED$IPT–AINPUT–jLOG$IPT–AINPUT–jDROP20.实验五以上设置，只能登录