实验四网上安全技术防火墙

淮海工学院计算机工程学院实验报告书课程名： 网络安全技术 题 目： 防火墙 班 级： 学 号： 姓 名： 评语：成绩： 指导教师： 批阅时间： 年 月 日【实验目的】 理解iptables工作机理 纯熟掌握iptables包过滤命令及规则 学会运用iptables对网络事件进行审计 纯熟掌握iptables NAT工作原理及实现流程 学会运用iptables+squid实现Web应用代理【实验人数】每组2人 合作方：韩云霄 【系统环境】Linux 【网络环境】互换网络结构【实验工具】iptablesNmapUlogd【实验环节】一、 iptables包过滤本任务主机A、B为一组，C、D为一组，E、F为一组。 一方面使用“快照X”恢复Linux系统环境。操作概述：为了应用iptables的包过滤功能，一方面我们将filter链表的所有链规则清空，并设立链表默认策略为DROP(严禁)。通过向INPUT规则链插入新规则，依次允许同组主机icmp回显请求、Web请求，最后开放信任接口eth0。iptables操作期间需同组主机进行操作验证。 （2）同组主机点击工具栏中“控制台”按钮，使用nmap工具对当前主机进行端口扫描。nmap端口扫描命令 nmap -sS -T5 同组主机IP。 说明 nmap具体使用方法可查看实验1练习一实验原理。 查看端口扫描结果，并填写表9-2-1。 表9-2-1开放端口（tcp）提供服务21ftp23telnet80http111rpcbind443https （3）查看INPUT、FORWARD和OUTPUT链默认策略。iptables命令 iptables -t filter -L 。 （4）将INPUT、FORWARD和OUTPUT链默认策略均设立为DROP。iptables命令 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 同组主机运用nmap对当前主机进行端口扫描，查看扫描结果，并运用ping命令进行连通性测试。 （5）运用功能扩展命令选项(ICMP)设立防火墙仅允许ICMP回显请求及回显应答。ICMP回显请求类型 8 ；代码 0 。ICMP回显应答类型 0 ；代码 0 。iptables命令 iptables -I INPUT -p icmp -icmp-type 8/0 -j ACCEPT iptables -I OUTPUT -p icmp -icmp-type 0/0 -j ACCEPT 运用ping指令测试本机与同组主机的连通性。 （6）对外开放Web服务(默认端口80/tcp)。iptables命令 iptables -I INPUT -p tcp -dport 80 -j ACCEPT iptables -I OUTPUT -p tcp -sport 80 -j ACCEPT 同组主机运用nmap对当前主机进行端口扫描，查看扫描结果。 （7）设立防火墙允许来自eth0(假设eth0为内部网络接口)的任何数据通过。iptables命令 iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT 同组主机运用nmap对当前主机进行端口扫描，查看扫描结果。 一事件审计实验 操作概述：运用iptables的日记功能检测、记录网络端口扫描事件，日记途径 /var/log/iptables.log。 （1）清空filter表所有规则链规则。 iptables命令 （2）根据实验原理(TCP扩展)设计iptables包过滤规则，并应用日记生成工具ULOG对iptables捕获的网络事件进行响应。iptables命令 （3）同组主机应用端口扫描工具对当前主机进行端口扫描，并观测扫描结果。（4）在同组主机端口扫描完毕后，当前主机查看iptables日记，对端口扫描事件进行审计，日记内容如图所示。二状态检测实验 操作概述：分别对新建和已建的网络会话进行状态检测。 1对新建的网络会话进行状态检测 （1）清空filter规则链所有内容。 iptables命令 （2）设立所有链表默认规则为允许。 iptables命令 （3）设立规则严禁任何新建连接通过。iptables命令 （4）同组主机对当前主机防火墙规则进行测试，验证规则对的性。 2对已建的网络会话进行状态检测 （1）清空filter规则链所有内容，并设立默认规则为允许。 （2）同组主机一方面telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。telnet登录命令 （3）iptables添加新规则（状态检测）仅严禁新建网络会话请求。 iptables命令 或 同组主机续环节（2）继续执行登录操作，尝试输入登录用户名“guest”及口令“guestpass”，登录是否成功？ 。同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？ 。解释上述现象 。 （4）删除环节（3）中添加的规则。 iptables命令 或 （5）同组主机重新telnet远程登录当前主机，当出现“login:”界面时，暂停登录操作。 （6）iptables添加新规则（状态检测）仅严禁已建网络会话请求。 iptables命令 或 同组主机续环节（5）继续执行登录操作，登录是否成功？ 。同组主机启动Web浏览器访问当前主机Web服务，访问是否成功？ 。解释上述现象 。 （7）当前主机再次清空filter链表规则，并设立默认策略为DROP,添加规则开放FTP服务，并允许远程用户上传文献至FTP服务器。iptables命令 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -m state -state ESTABLISHED,RELATED j ACCEPT iptables -A OUTPUT -p tcp -sport 21 -j ACCEPT iptables -A OUTPUT -m state -state ESTABLISHED -j ACCEPT 同组主机尝试上传文献，是否成功？成功。【实验体会】通过本次实验，大体了解了iptables的使用。