信息安全合實(shí)驗(yàn)

1、1張煥杰中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心0/james/nmstel: 3601897(o)2l課程目的學(xué)習(xí)包過濾防火墻基本原理簡單理解linux kernel 2.4.*中的netfilter/iptables框架熟悉iptables配置3l包過濾型根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議、端口、協(xié)議內(nèi)部數(shù)據(jù)、時間、物理接口來判斷是否允許數(shù)據(jù)包通過。外在表現(xiàn)：路由型、透明網(wǎng)橋型、混合型優(yōu)點(diǎn)：性能高，對應(yīng)用透明，使用方便缺點(diǎn)：安全控制粒度不夠細(xì)4l規(guī)則l條件 動作 序列l(wèi)條件源地址、目的地址、協(xié)議、端口、協(xié)議內(nèi)部數(shù)據(jù)、時間、物理接口l動作accept 允許drop 直接

2、丟棄reject tcp-reset/icmp-port-unreachablelog 日志5l有先后關(guān)系l數(shù)據(jù)包的處理接收到數(shù)據(jù)包逐條對比規(guī)則如果滿足條件，則進(jìn)行相應(yīng)的動作，如果動作不是accept/drop/reject，繼續(xù)處理后面的規(guī)則6lipfw/ipfwadm2.0.*中使用移植于bsd的ipfw缺點(diǎn)：包過濾、nat等代碼混雜在整個網(wǎng)絡(luò)相關(guān)代碼中l(wèi)ipchains2.2.*中使用lnetfilter/iptables2.4.*/模塊化7lnetfilter是linux kernel 中對數(shù)據(jù)包進(jìn)行處理的框架l定義了5個hook位置nf_ip_pre_

3、routing nf_ip_local_in nf_ip_forward nf_ip_post_routing nf_ip_local_out89lnf_accept: continue traversal as normal. lnf_drop: drop the packet; dont continue traversal. lnf_stolen: ive taken over the packet; dont continue traversal. lnf_queue: queue the packet (usually for userspace handling). lnf_rep

4、eat: call this hook again. 10liptables是netfilter上的應(yīng)用程序lnat mangle filter11l可以實(shí)現(xiàn)完整的基于連接跟蹤的包過濾防火墻l支持包過濾，雙向地址轉(zhuǎn)換l一般是路由型的l使用ebtables中的bridge+nf patch可以表現(xiàn)為網(wǎng)橋型的http:/ 三個規(guī)則鏈可以增加自定義規(guī)則鏈liptables n xxx命令格式iptables l nv 顯示iptables f 規(guī)則鏈名 清空規(guī)則鏈iptables a 規(guī)則鏈名 規(guī)則 增加規(guī)則iptables i 規(guī)則鏈名 規(guī)則 插入規(guī)則iptables d 規(guī)則鏈名 規(guī)則 刪除規(guī)則

5、iptables d 規(guī)則鏈名 規(guī)則編號13l規(guī)則-j 動作 .條件l動作為：accept 接受數(shù)據(jù)包drop 丟棄數(shù)據(jù)包return 從當(dāng)前規(guī)則鏈返回log 日志，用dmesg可以看到rejectsnat/dnat等14l條件l-s ip地址 源地址l-d ip地址 目的地址l-i 接口名 接收的接口l-o 接口名 發(fā)送的接口l-m state - state 狀態(tài) 狀態(tài)包過濾established related new invalidl-p tcp/udp/icmp/47 協(xié)議l-dport 目的端口l-sport 源端口15l建議編輯如下文件，命名為lipt，并用chmod a+x i

6、ptl每次試驗(yàn)時用命令./ipt執(zhí)行，文件內(nèi)容為l#!/bin/shlipt=iptablesl$ipt fl$ipt .l$ipt l nv16liptables flping l執(zhí)行如下命令l$ipt a input j log s l$ipt a input j drop s lping 看是否通？l用dmesg能看到什么？liptables l nv 能看到什么？l為什么？17l讓你的機(jī)器只能telnet (bbs)l$ipt a output j accept d p

7、 tcp dport 23l$ipt a output j log l$ipt a output j dropl$ipt a input j accept s p tcp m tcp -sport 23 -dport 1024:65535 ! -synl$ipt a input j log l$ipt a input j drop18l連接跟蹤l文件/proc/net/ip_conntrack是否存在？l如果不存在，執(zhí)行命令lmodprobe ip_conntrackl文件/proc/net/ip_conntrack的內(nèi)容有什么？lmore /proc/net/ip_c

8、onntrackldmesg顯示最多支持多少session?llsmod 增加了什么模塊19l讓你的機(jī)器只能telnet (bbs)l$ipt a output j accept d p tcp -dport 23l$ipt a output j log l$ipt a output j dropl$ipt a input j accept m state -state established,relatedl$ipt a input j log l$ipt a input j drop20l讓你的機(jī)器只能ftp 0l$ipt a output j accept m state -state established,relatedl$ipt a output j accept d 0 p tcp -dport 21l$ipt a output j log l$ipt a output j dropl$ipt a input j accept m state -state established,relatedl$ipt a input j log l$ipt a input j drop21l以上設(shè)置，只能登錄，無法使用列目錄等操作l用命令modprobe ip_conntr