Iptabes設(shè)置實(shí)驗(yàn)報(bào)告.doc

Project 6 Lab-ReportComputer Network Security實(shí)驗(yàn)名稱： 小組成員： 指導(dǎo)教師： 所屬班級(jí)： 一 實(shí)驗(yàn)描述 【實(shí)驗(yàn)背景】IP-Table是與最新的2.6.x版本Linux內(nèi)核集成的IP信息包過濾系統(tǒng)。如果Linux系統(tǒng)連接到因特網(wǎng)或LAN的服務(wù)器，或連接到LAN和因特網(wǎng)的代理服務(wù)器， 則該系統(tǒng)有利于在 Linux系統(tǒng)上更好地控制IP 信息包過濾和防火墻配置。 netfilter/IP-Table IP 信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時(shí)，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專用的信息包過濾表中，而這些表集成在 Linux 內(nèi)核中。在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中?！緦?shí)驗(yàn)?zāi)康摹扛鶕?jù)實(shí)驗(yàn)要求配置IP-Table，掌握IP-Table規(guī)則的編寫。【實(shí)驗(yàn)環(huán)境】虛擬機(jī)使用信息： VirtualBox 與 VmwareLinux 版本信息： Ubuntu 12.04.2 (Final)Linux 內(nèi)核版本： 3.8.0二 實(shí)驗(yàn)準(zhǔn)備在進(jìn)行IP-Table設(shè)置前需要搭建實(shí)驗(yàn)環(huán)境，實(shí)驗(yàn)所需的環(huán)境配置如下圖所示：【基于實(shí)驗(yàn)指導(dǎo)書Lab-6】其中，1號(hào)機(jī)、3號(hào)機(jī)是內(nèi)網(wǎng)計(jì)算機(jī)，2號(hào)機(jī)為網(wǎng)關(guān)，最右邊藍(lán)色區(qū)域?yàn)橥饩W(wǎng)。實(shí)驗(yàn)環(huán)境搭建成功之后，需要完成下面的實(shí)驗(yàn)步驟：【Part A】1、在2號(hào)機(jī)上用NAT表的POSTROUTING鏈配置NAT1）偽裝（MASQUERADE）包使內(nèi)網(wǎng)的IP地址從外網(wǎng)隱藏2）從1號(hào)機(jī)和3號(hào)機(jī)，只允許通過SSH連接到外網(wǎng)2、此步驟的NAT配置在整個(gè)實(shí)驗(yàn)過程中持續(xù)有效【Part B】為來自或者到達(dá)2號(hào)機(jī)（網(wǎng)關(guān)）的包編寫規(guī)則，到達(dá)以下目的：1、允許來自或者到達(dá)2號(hào)機(jī)的SSH連接2、允許來自或者到達(dá)2號(hào)機(jī)的ping連接3、阻斷來自或者到達(dá)2號(hào)機(jī)的其他所有通信4、提示：Part B需要INPUT和OUTPUT鏈，但不需要FORWARD鏈【Part C】1、清除Part B中filter表設(shè)置的規(guī)則2、僅允許1號(hào)機(jī)（不允許3號(hào)機(jī)）向外網(wǎng)中的主機(jī)發(fā)起SSH通信3、阻斷其他所有通信4、提示：Part C需要FORWARD，INPUT和OUTPUT鏈三 IP-Table規(guī)則分析【IP-Table規(guī)則】基于網(wǎng)絡(luò)百科知識(shí)（摘要）功效：IP-Table規(guī)則指定所檢查包的特征和目標(biāo)。如果包不匹配某條規(guī)則，將送往該鏈中下一條規(guī)則檢查。1）目標(biāo)值（TARGETS）目標(biāo)值可以是用戶定義的鏈名，也可以是某個(gè)專用值，如：ACCEPT（通過）、DROP（刪除）、QUEUE（排隊(duì)）或者RETURN（返回）。 ACCEPT：表示讓這個(gè)包通過；DROP：表示將這個(gè)包丟棄；QUEUE：表示把這個(gè)包傳遞到用戶空間；RETURN：表示停止這條鏈的匹配，到前一個(gè)鏈的規(guī)則重新開始。如果到達(dá)了一個(gè)內(nèi)建的鏈的末端，或者遇到內(nèi)建鏈的規(guī)則是RETURN，包的命運(yùn)將由鏈準(zhǔn)則指定的目標(biāo)決定。2）表（TABLES）-t table：指定命令要操作的匹配包的表。在IP-Table規(guī)則中有三個(gè)表，分別為：filter：這是默認(rèn)的表，包含了內(nèi)建的鏈INPUT（處理進(jìn)入的包）、FORWARD（處理通過的包）和OUTPUT（處理本地生成的包）。nat：這個(gè)表被查詢時(shí)表示遇到了產(chǎn)生新的連接的包。它由三個(gè)內(nèi)建的鏈構(gòu)成：PREROUTING (修改到來的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改準(zhǔn)備出去的包）。mangle：這個(gè)表用來對指定的包進(jìn)行修改。它有兩個(gè)內(nèi)建規(guī)則：PREROUTING（修改路由之前進(jìn)入的包）和OUTPUT（修改路由之前本地的包）。3）選項(xiàng)（OPTIONS）可被IP-Table識(shí)別的選項(xiàng)可以區(qū)分不同的種類，分別為：l 命令（COMMANDS）這些選項(xiàng)指定執(zhí)行明確的動(dòng)作。若指令行下沒有其他規(guī)定，該行只能指定一個(gè)選項(xiàng)。對于長格式的命令和選項(xiàng)名，所用字母長度只要保證IP-Table能從其他選項(xiàng)中區(qū)分出該指令就行了。常用命令如下：-F flush：清空所選鏈。這等于把所有規(guī)則一個(gè)個(gè)的刪除。 -X -delete-chain：刪除指定的用戶自定義鏈。這個(gè)鏈必須沒有被引用，如果被引用，在刪除之前你必須刪除或者替換與之有關(guān)的規(guī)則。如果沒有給出參數(shù)，這條命令將試著刪除每個(gè)非內(nèi)建的鏈。-Z zero：把所有鏈的包及字節(jié)的計(jì)數(shù)器清空。-L list：顯示所選鏈的所有規(guī)則。如果沒有選擇鏈，所有鏈將被顯示。也可以和-Z選項(xiàng)一起使用，這時(shí)鏈會(huì)被自動(dòng)列出和歸零。精確輸出受其它所給參數(shù)影響。-A append：在所選擇的鏈末添加一條或更多規(guī)則。當(dāng)源（地址）或者/與目的（地址）轉(zhuǎn)換為多個(gè)地址時(shí)，這條規(guī)則會(huì)加到所有可能的地址(組合)后面。 -D delete：從所選鏈中刪除一條或更多規(guī)則。這條命令可以有兩種方法：可以把被刪除規(guī)則指定為鏈中的序號(hào)(第一條序號(hào)為1)，或者指定為要匹配的規(guī)則。-P policy：設(shè)置鏈的目標(biāo)規(guī)則。l 參數(shù)（PARAMETERS）以下參數(shù)構(gòu)成規(guī)則詳述，如用于add、delete、replace、append 和 check命令。-p -protocal !protocol ：規(guī)則或者包檢查(待檢查包)的協(xié)議。指定協(xié)議可以是tcp、udp、icmp中的一個(gè)或者全部，也可以是數(shù)值，代表這些協(xié)議中的某一個(gè)。當(dāng)然也可以使用在/etc/protocols中定義的協(xié)議名。在協(xié)議名前加上!表示相反的規(guī)則。數(shù)字0相當(dāng)于所有（all）。Protocol all會(huì)匹配所有協(xié)議，而且這是缺省時(shí)的選項(xiàng)。在和check命令結(jié)合時(shí)，all可以不被使用。-s -source ! address/mask：指定源地址，可以是主機(jī)名、網(wǎng)絡(luò)名和清楚的IP地址。mask說明可以是網(wǎng)絡(luò)掩碼或清楚的數(shù)字，在網(wǎng)絡(luò)掩碼的左邊指定網(wǎng)絡(luò)掩碼左邊1的個(gè)數(shù)，因此，mask值為24等于。在指定地址前加上!說明指定了相反的地址段。標(biāo)志 -src 是這個(gè)選項(xiàng)的簡寫。-d -destination ! address/mask：指定目標(biāo)地址，使用方法和-s類似。-i -in-interface ! name：這是包經(jīng)由該接口接收的可選的入口名稱，包通過該接口接收（在鏈INPUT、FORWORD和PREROUTING中進(jìn)入的包）。當(dāng)在接口名前使用!說明后，指的是相反的名稱。如果接口名后面加上+，則所有以此接口名開頭的接口都會(huì)被匹配。如果這個(gè)選項(xiàng)被忽略，會(huì)假設(shè)為+，那么將匹配任意接口。 -o -out-interface !name：這是包經(jīng)由該接口送出的可選的出口名稱，包通過該口輸出（在鏈FORWARD、OUTPUT和POSTROUTING中送出的包）。當(dāng)在接口名前使用!說明后，指的是相反的名稱。如果接口名后面加上+，則所有以此接口名開頭的接口都會(huì)被匹配。如果這個(gè)選項(xiàng)被忽略，會(huì)假設(shè)為+，那么將匹配所有任意接口。-j -jump target ：-j： 目標(biāo)跳轉(zhuǎn)。指定規(guī)則的目標(biāo)。也就是說，如果包匹配應(yīng)當(dāng)做什么。目標(biāo)可以是用戶自定義鏈（不是這條規(guī)則所在的），某個(gè)會(huì)立即決定包的命運(yùn)的專用內(nèi)建目標(biāo)，或者一個(gè)擴(kuò)展。如果規(guī)則的這個(gè)選項(xiàng)被忽略，那么匹配的過程不會(huì)對包產(chǎn)生影響，不過規(guī)則的計(jì)數(shù)器會(huì)增加。四 建立相應(yīng)實(shí)驗(yàn)環(huán)境在本實(shí)驗(yàn)中需要數(shù)臺(tái)計(jì)算機(jī)，分別使用相同的虛擬機(jī)以及ubuntu版本，并且其中1號(hào)機(jī)、3號(hào)機(jī)處于內(nèi)網(wǎng)環(huán)境（它們處于同一個(gè)子網(wǎng)之下，并且相互間可以Ping通），另外有一臺(tái)計(jì)算機(jī)（2號(hào)機(jī)）作為網(wǎng)關(guān)連接內(nèi)網(wǎng)和外網(wǎng)，還需要有一臺(tái)計(jì)算機(jī)處于外網(wǎng)環(huán)境。因此要圓滿完成本實(shí)驗(yàn)，至少需要4臺(tái)計(jì)算機(jī)（最后這一臺(tái)計(jì)算機(jī)可以我們利用了學(xué)校機(jī)房線程的機(jī)子）。針對我的計(jì)算機(jī)的實(shí)際情況，可以將本機(jī)作為外網(wǎng)計(jì)算機(jī)，另外運(yùn)行1個(gè)虛擬機(jī)作為2號(hào)機(jī)，再運(yùn)行2個(gè)虛擬機(jī)作為1號(hào)機(jī)和3號(hào)機(jī)?？墒俏业挠?jì)算機(jī)在運(yùn)行兩個(gè)虛擬機(jī)的時(shí)候處理速度就變得非常慢，因此我只能運(yùn)行1臺(tái)虛擬機(jī)作為2號(hào)機(jī)，再運(yùn)行一個(gè)虛擬機(jī)作為1號(hào)機(jī)，至于3號(hào)機(jī)，由于在Part A和Part B中，1號(hào)機(jī)和3號(hào)機(jī)的規(guī)則是相同的，因此只要有一個(gè)就足以達(dá)到驗(yàn)證規(guī)則的目的。而在Part C中，二者的規(guī)則有區(qū)別，這可以通過修改1號(hào)機(jī)的IP地址達(dá)到驗(yàn)證的目的。因此只運(yùn)行兩臺(tái)虛擬機(jī)同樣能達(dá)到驗(yàn)證規(guī)則，完成本實(shí)驗(yàn)的效果。綜上，在本實(shí)驗(yàn)中，我用本機(jī)作為外網(wǎng)計(jì)算機(jī)，用虛擬機(jī)ubuntu2作為內(nèi)網(wǎng)計(jì)算機(jī)1號(hào)機(jī)，用虛擬機(jī)“ubuntu2的克隆”作為網(wǎng)關(guān)2號(hào)機(jī)。配置實(shí)驗(yàn)環(huán)境的過程如下：【2號(hào)機(jī)相關(guān)配置】由于2號(hào)機(jī)是網(wǎng)關(guān)連接內(nèi)網(wǎng)和外網(wǎng)，因此它必須有兩塊網(wǎng)卡，一塊實(shí)現(xiàn)內(nèi)網(wǎng)和2號(hào)機(jī)的直接通信，另一塊實(shí)現(xiàn)外網(wǎng)和2號(hào)機(jī)的直接通信。因此配置2號(hào)機(jī)的過程如下：1）增加一個(gè)網(wǎng)卡點(diǎn)擊VMware左側(cè)目錄中的虛擬機(jī)“3000Shana”圖標(biāo)，右鍵“設(shè)置”，得到如下界面（圖2），在左邊界面中單擊“添加”按鈕進(jìn)行硬件的添加，在彈出界面中選擇硬件類型為“網(wǎng)絡(luò)適配器”，然后點(diǎn)擊“Next”?！揪庉嬏摂M機(jī)設(shè)置】【選擇添加硬件的類型】之后選擇網(wǎng)絡(luò)連接方式為“自定義”，然后點(diǎn)擊“完成”，完成增加網(wǎng)卡的過程。 【選擇新增網(wǎng)卡的網(wǎng)絡(luò)連接方式】然后查看虛擬機(jī)的主界面，可以發(fā)現(xiàn)多了一個(gè)網(wǎng)絡(luò)適配器圖標(biāo)，而且它連接方式變?yōu)椤巴ㄓ谩?！【新增網(wǎng)卡后“Ubuntu2的克隆”的主界面】2）運(yùn)行“Ubuntu2的克隆”，修改新增網(wǎng)卡的有關(guān)配置開啟虛擬機(jī)“Ubuntu2的克隆”，以root用戶登錄。登錄后右鍵單擊桌面上方網(wǎng)絡(luò)連接的小圖標(biāo)，選擇“編輯連接”，可以看到“有線”一欄下有“Auto eth1”和“Auto eth2”兩個(gè)網(wǎng)絡(luò)接口，“Auto eth2”是新增的。單擊“Auto eth2”，選擇“編輯”，在彈出界面中選擇“IPv4設(shè)置”，然后選擇方法為“手動(dòng)”，可以看到“地址”部分變?yōu)榭删庉?。單擊“添加”，將地址設(shè)定為“”（我認(rèn)為這個(gè)IP地址的設(shè)置只要不和“Auto eth1”的IP地址在一個(gè)網(wǎng)段就可以），子網(wǎng)掩碼設(shè)為默認(rèn)的“”，網(wǎng)關(guān)可以任意設(shè)定。設(shè)定完之后選擇“應(yīng)用”?！拘略鼍W(wǎng)卡接口“Auto eth2”的設(shè)置】3）查看2號(hào)機(jī)的IP地址PS：后繼所有關(guān)于ubuntu上的終端操作均以root權(quán)限為主選擇“應(yīng)用程序”“附件”“終端”，在終端中輸入命令“ifconfig”查看2號(hào)機(jī)的IP地址等信息：【2號(hào)機(jī)的IP地址】可以看到與外網(wǎng)連接的網(wǎng)口eth1的IP地址為：8（Vmware中可以在子網(wǎng)范圍內(nèi)自由設(shè)置），與內(nèi)網(wǎng)連接的網(wǎng)口eth2的IP地址為，和我之前設(shè)置的一樣，這說明2號(hào)機(jī)的配置成功！2. 配置1號(hào)機(jī)1）選擇“Ubuntu2”的網(wǎng)絡(luò)連接方式點(diǎn)擊VMware的“Ubuntu2”的主界面中的“編輯虛擬機(jī)設(shè)置”，在彈出界面中單擊 “Network Adapter”，然后選擇界面右側(cè)的“Custom”，點(diǎn)擊“OK”。即將“Ubuntu2”的網(wǎng)絡(luò)連接方式設(shè)為自定義，和“Ubuntu2的克隆”中和內(nèi)網(wǎng)連接的網(wǎng)卡是一樣的。2）運(yùn)行“Ubuntu2”，修改網(wǎng)卡的有關(guān)配置開啟虛擬機(jī)“Ubuntu2”，以root用戶登錄。登錄后右鍵單擊桌面上方網(wǎng)絡(luò)連接的小圖標(biāo)，選擇“編輯連接”，可以看到“有線”一欄下有“Auto eth0”這一個(gè)網(wǎng)絡(luò)接口。單擊“Auto eth0”，選擇“編輯”，在彈出界面中選擇“IPv4設(shè)置”，然后選擇方法為“手動(dòng)”，可以看到“地址”部分變?yōu)榭删庉?。單擊“添加”，將地址設(shè)定為“”（需要和2號(hào)機(jī)中“Auto eth1”的IP地址在一個(gè)網(wǎng)段），子網(wǎng)掩碼設(shè)為默認(rèn)的“”，網(wǎng)關(guān)設(shè)定為“Auto eth1”的IP地址。設(shè)定完之后選擇“應(yīng)用”?！?號(hào)機(jī)（ubuntu2）中“Auto eth0”的設(shè)置】3）查看1號(hào)機(jī)的IP地址選擇ubuntu2的“應(yīng)用程序”“附件”“終端”，在終端中輸入命令“ifconfig”查看1號(hào)機(jī)的IP地址等信息：【1號(hào)機(jī)的IP地址】可以看到IP地址為為，和我之前設(shè)置的一樣，這說明1號(hào)機(jī)的配置成功！3、驗(yàn)證環(huán)境配置成功1）1號(hào)機(jī)和2號(hào)機(jī)能互相通信1號(hào)機(jī) ping 2號(hào)機(jī)其中2號(hào)機(jī)的IP地址是與內(nèi)網(wǎng)連接的網(wǎng)口“Auto eth2”的IP地址【1號(hào)機(jī)能ping通2號(hào)機(jī)】2號(hào)機(jī) ping 1號(hào)機(jī)【2號(hào)機(jī)能ping通1號(hào)機(jī)】2）2號(hào)機(jī)和外網(wǎng)能互相通信首先查看本機(jī)的IP地址。在本機(jī)點(diǎn)擊“開始”“運(yùn)行”，輸入CMD并點(diǎn)擊確定，在出現(xiàn)的小黑框中輸入“IPCONFIG”命令查看本機(jī)的IP地址【本機(jī)IP地址】外網(wǎng) ping 2號(hào)機(jī)其中2號(hào)機(jī)的IP地址是與外網(wǎng)連接的網(wǎng)口“Auto eth1”的IP地址8【圖13 外網(wǎng)能ping通2號(hào)機(jī)】2號(hào)機(jī) ping 外網(wǎng)【圖14 2號(hào)機(jī)能ping通外網(wǎng)】3）1號(hào)機(jī)和外網(wǎng)不能互相通信使外網(wǎng)ping 1號(hào)機(jī)【外網(wǎng)不能ping通1號(hào)機(jī)】4）綜合1）、2）和3），可以證明符合實(shí)驗(yàn)要求的環(huán)境已經(jīng)搭建成功！五 實(shí)驗(yàn)Part A1、在本機(jī)安裝SSH服務(wù)器WinSSHD1）從網(wǎng)上下載WinSSHD安裝包，根據(jù)提示進(jìn)行安裝，安裝成功后會(huì)出現(xiàn)提示信息2）點(diǎn)擊提示信息中的“確定”后會(huì)出現(xiàn)WinSSHD的配置界面，點(diǎn)擊“3.Virtual accounts”設(shè)置虛擬賬戶，賬戶名和密碼都設(shè)為zmj，其他項(xiàng)采取默認(rèn)設(shè)置，然后點(diǎn)擊“Save changes”保存設(shè)置?！網(wǎng)inSSHD設(shè)置虛擬賬戶】3）打開WinSSHD的主界面“WinSSHD Control Panel”，選擇“Server”，點(diǎn)擊“Start WinSSHD”開啟WinSSHD【開啟WinSSHD】 至此就完成了WinSSHD的安裝、配置及開啟！2、在1號(hào)機(jī)和2號(hào)機(jī)上安裝openSSH-server在“Ubuntu2”和“Ubuntu2的克隆”中輸入命令“apt-get install openssl-server”進(jìn)行 openssl-server的安裝，安裝成功會(huì)有相應(yīng)信息：【在1號(hào)機(jī)和2號(hào)機(jī)中成功安裝openssl-server】由上圖知，在1號(hào)機(jī)和2號(hào)機(jī)中成功安裝openssl-server，且SSH自動(dòng)啟動(dòng)3、編寫符合要求的規(guī)則根據(jù)IP-Table規(guī)則的說明和實(shí)驗(yàn)要求，編寫規(guī)則如下：1）清空表filter中的所有鏈及計(jì)數(shù)器（具體規(guī)則如下所示）【PartA清空表filter中的所有鏈及計(jì)數(shù)器】2）清空表nat中的所有鏈及計(jì)數(shù)器【PartA清空表nat中的所有鏈及計(jì)數(shù)器】3）修改表filter的默認(rèn)規(guī)則由于從1號(hào)機(jī)和3號(hào)機(jī)，只允許通過SSH連接到外網(wǎng)，因此要禁止INPUT鏈和OUTPUT鏈，允許FORWARD（轉(zhuǎn)發(fā)）鏈：【PartA修改表filter的默認(rèn)規(guī)則】4）配置POSTROUTING鏈，實(shí)現(xiàn)內(nèi)網(wǎng)IP地址對外網(wǎng)的隱藏（具體規(guī)則如下圖23所示）【PartA配置POSTROUTING鏈，實(shí)現(xiàn)內(nèi)網(wǎng)IP地址對外網(wǎng)的隱藏】此規(guī)則的含義為：-t nat：指定nat表-A POSTROUTING：在POSTROUTING鏈后添加一條規(guī)則-p tcp：SSH連接為tcp協(xié)議的連接。此條命令比較tcp協(xié)議-s /24：包來源于內(nèi)網(wǎng)-o eth1：包通過網(wǎng)口eth1輸出，表示是向外網(wǎng)發(fā)的包-dport 22：目的端口是22，表示是SSH連接-j MASQUERADE：如果包匹配，就跳轉(zhuǎn)到MASQUERADE目標(biāo)，即實(shí)現(xiàn)偽裝5）保存IP-Table設(shè)置使用命令“IP-Table-save”保存IP-Table設(shè)置，并查看當(dāng)前規(guī)則：【PartA保存IP-Table設(shè)置】由上圖可知，之前對IP-Table的設(shè)置都已成功保存！4、修改配置文件為了能實(shí)現(xiàn)成功轉(zhuǎn)發(fā)，還需要修改一些配置文件。1）去掉/etc/sysctl.conf中“net.ipv4.ip_forward=1”前的注釋去掉/etc/sysctl.conf中“net.ipv4.ip_forward=1”前的注釋2）輸入命令，將/proc/sys/net/ipv4/ip_forward的值設(shè)為1【將/proc/sys/net/ipv4/ip_forward的值設(shè)為1】5、驗(yàn)證規(guī)則是否正確有效在1號(hào)機(jī)（ubuntu2）中輸入命令“SSH zmj13”，通過SSH連接外網(wǎng)，在確定（yes）繼續(xù)連接之后輸入密碼zmj，可以看到本機(jī)的命令框界面【PartA 1號(hào)機(jī)通過SSH成功連接外網(wǎng)】同時(shí)可以看到WinSSHD顯示Session信息：【PartA規(guī)則設(shè)置成功2_WinSSHD顯示Session信息】【分析】不難看出，1號(hào)機(jī)通過SSH成功連接外網(wǎng)；從上圖可以看出，Remote IP為8，即為2號(hào)機(jī)中連接外網(wǎng)的網(wǎng)卡的IP，這說明內(nèi)網(wǎng)IP成功實(shí)現(xiàn)了隱藏。綜上可以看出，Part A中規(guī)則的設(shè)置是符合實(shí)驗(yàn)要求的！六 實(shí)驗(yàn)Part B1、初步編寫符合要求的規(guī)則根據(jù)實(shí)驗(yàn)要求及提示，在保留Part A所有設(shè)置和規(guī)則的情況下，編寫其他規(guī)則。1）修改表filter的默認(rèn)規(guī)則本實(shí)驗(yàn)中要禁止FORWARD（轉(zhuǎn)發(fā)）鏈：【 Part B禁止FORWARD（轉(zhuǎn)發(fā)）鏈】2）允許來自或者到達(dá)2號(hào)機(jī)的SSH連接【Part B允許來自或者到達(dá)2號(hào)機(jī)的SSH連接】3）允許來自或者到達(dá)2號(hào)機(jī)的ping連接【PartB允許來自或者到達(dá)2號(hào)機(jī)的ping連接】4）保存IP-Table設(shè)置使用命令“IP-Table-save”保存IP-Table設(shè)置，并查看當(dāng)前規(guī)則：【PartB保存IP-Table設(shè)置】【分析】由上圖可知，我之前對IP-Table的設(shè)置都已成功保存！2、驗(yàn)證規(guī)則是否正確有效1）驗(yàn)證：允許來自或者到達(dá)2號(hào)機(jī)的ping連接首先使2號(hào)機(jī) ping 外網(wǎng)計(jì)算機(jī)：【PartB使2號(hào)機(jī) ping 外網(wǎng)計(jì)算機(jī)】【分析】由上圖可知，IP-Table允許來自2號(hào)機(jī)的ping連接！然后使外網(wǎng)計(jì)算機(jī) ping 2號(hào)機(jī)：【PartB使外網(wǎng)計(jì)算機(jī)ping 2號(hào)機(jī)】【分析】由圖34可知，IP-Table允許到達(dá)2號(hào)機(jī)的ping連接！綜上說明，規(guī)則中關(guān)于ping的部分是正確的！2）驗(yàn)證：允許來自或者到達(dá)2號(hào)機(jī)的SSH連接使2號(hào)機(jī)通過SSH連接外網(wǎng)計(jì)算機(jī)【PartB 2號(hào)機(jī)通過SSH無法連接外網(wǎng)計(jì)算機(jī)】【分析】從圖35可以知道，2號(hào)機(jī)通過SSH無法連接外網(wǎng)計(jì)算機(jī)，這說明規(guī)則中關(guān)于SSH的部分是錯(cuò)誤的！3、修改規(guī)則中關(guān)于SSH的部分1）最開始我認(rèn)為是相關(guān)INPUT和OUTPUT鏈中源端口和目的端口指定的問題，因此做了如下修改（如下圖36所示）：【PartB 修改規(guī)則1】【分析】可是保存規(guī)則后再次試圖通過SSH連接，仍然失敗。2）之后我將相關(guān)INPUT和OUTPUT鏈中源端口和目的端口寫在不同規(guī)則中，并保存IP-Table設(shè)置，然后試圖讓2號(hào)機(jī)通過SSH連接外網(wǎng)計(jì)算機(jī)，發(fā)現(xiàn)可以成功連接！ 【PartB 修改規(guī)則2，實(shí)現(xiàn)2號(hào)機(jī)通過SSH成功連接外網(wǎng)計(jì)算機(jī)】【分析】前兩種規(guī)則都不正確的原因是：第一種規(guī)則所描述的條件不夠完整，主要是源端口和目的端口的問題；第二種規(guī)則在INPUT和OUTPUT鏈中，都把源端口和目的端口同時(shí)寫在同一條規(guī)則中，這構(gòu)成的應(yīng)該是“與”的關(guān)系，因此導(dǎo)致規(guī)則限定的條件太過苛刻，達(dá)不到實(shí)驗(yàn)的要求。4、修改規(guī)則后驗(yàn)證規(guī)則的有效性在之前的步驟中，我已經(jīng)驗(yàn)證了ping相關(guān)規(guī)則的有效性，且實(shí)現(xiàn)了2號(hào)機(jī)通過SSH成功連接外網(wǎng)計(jì)算機(jī)。接下來需要驗(yàn)證外網(wǎng)計(jì)算機(jī)可以通過SSH連接2號(hào)機(jī)，且此規(guī)則可以阻斷來自或者到達(dá)2號(hào)機(jī)的其他所有通信。1）驗(yàn)證外網(wǎng)計(jì)算機(jī)可以通過SSH連接2號(hào)機(jī)為了驗(yàn)證外網(wǎng)計(jì)算機(jī)可以通過SSH連接2號(hào)機(jī)，我需要在本機(jī)安裝SSH的客戶端，在此我選擇安裝的是Putty。我從網(wǎng)上下載了Putty軟件的壓縮包，解壓后可直接使用。軟件的主界面如下：【Putty軟件的壓縮包】雙擊“Session”，在界面右側(cè)的“Host Name”中輸入想要連接到的目的IP地址，即2號(hào)機(jī)中eth1的IP地址8，“Port”中輸入SSH的端口22。然后單擊選中“Default Settings”后，點(diǎn)擊“Save”進(jìn)行保存。之后點(diǎn)擊Open，即進(jìn)行外網(wǎng)計(jì)算機(jī)通過SSH連接2號(hào)機(jī)的過程。之后我們會(huì)看到彈出界面。用戶名輸入root，密碼為ubuntu2的克隆的root用戶的密碼，然后我們可以看到連接到ubuntu的歡迎信息，這說明外網(wǎng)計(jì)算機(jī)可以通過SSH連接2號(hào)機(jī)！【PartB外網(wǎng)計(jì)算機(jī)可以通過SSH連接到2號(hào)機(jī)】【分析】綜上可以驗(yàn)證，修改后的規(guī)則中關(guān)于SSH的部分是正確的！2）驗(yàn)證規(guī)則阻斷來自或者到達(dá)2號(hào)機(jī)的其他所有通信我們不能對所有通信手段加以驗(yàn)證，在此只驗(yàn)證ftp通信。試圖讓外網(wǎng)計(jì)算機(jī)通過ftp連接到2號(hào)機(jī)，發(fā)現(xiàn)無法連接【PartB外網(wǎng)計(jì)算機(jī)無法通過ftp連接到2號(hào)機(jī)】之后試圖讓2號(hào)機(jī)通過ftp連接到外網(wǎng)計(jì)算機(jī)，發(fā)現(xiàn)同樣無法連接【PartB 2號(hào)機(jī)無法通過ftp連接到外網(wǎng)計(jì)算機(jī)】【分析】這說明規(guī)則阻斷了來自和到達(dá)2號(hào)機(jī)的ftp連接！綜上可以驗(yàn)證出，Part B修改后的規(guī)則是正確的！七 實(shí)驗(yàn)Part C1、編寫符合要求