實(shí)驗(yàn)四：iptables實(shí)驗(yàn)環(huán)境搭建

網(wǎng)絡(luò)安全與管理實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱：iptables防火墻實(shí)驗(yàn)環(huán)境的搭建學(xué)院：計(jì)算機(jī)學(xué)院專業(yè)班級(jí)：計(jì)算機(jī)科學(xué)與技術(shù)四班學(xué)號(hào)名：羅前指導(dǎo)教師：劉衍斌完成日期： 2017年5月7日一．實(shí)驗(yàn)?zāi)康模和瓿蒳ptables防火墻環(huán)境的搭建，為后面學(xué)習(xí)iptables規(guī)則做準(zhǔn)備實(shí)驗(yàn)使用環(huán)境：VMware,RedHatlinux，四臺(tái)客戶機(jī)（window操作系統(tǒng)）二．實(shí)驗(yàn)原理：1.Iptables工作機(jī)理：netfilter/iptables（簡(jiǎn)稱為iptables）組成Linux平臺(tái)下的包過(guò)濾防火墻，與大多數(shù)的Linux軟件一樣，這個(gè)包過(guò)濾防火墻是免費(fèi)的，它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等功能。規(guī)則（rules）其實(shí)就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議（如TCP、UDP、ICMP）和服務(wù)類型（如HTTP、FTP和SMTP）等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)。iptables就根據(jù)規(guī)則所定義的方法來(lái)處理這些數(shù)據(jù)包，如放行（accept）拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。三．實(shí)驗(yàn)內(nèi)容：安裝好虛擬機(jī)，配置安裝好的RadHatLinux，修改網(wǎng)卡模式為NAT模式，按照下圖拓?fù)鋱D配置,iptables假設(shè)在Linux路由器上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)，

Linux作為獨(dú)立的防火墻系統(tǒng)，處于外網(wǎng)和局域網(wǎng)之間，由于防火墻架設(shè)在路由器上面，因此可以對(duì)進(jìn)入局域網(wǎng)的所有數(shù)據(jù)包進(jìn)行過(guò)濾處理，同時(shí)也可以對(duì)局域網(wǎng)內(nèi)主機(jī)進(jìn)行訪問(wèn)限制。主機(jī)IP地址功用Fire2，12控制整個(gè)網(wǎng)段的數(shù)據(jù)報(bào)文的流入流出及過(guò)濾DNS提供DNS服務(wù)FTP提供FTP服務(wù)Web提供web服務(wù)除了fire主機(jī)其他主機(jī)都關(guān)閉iptablesWinxp的IP地址配置：LqcslIAreaConnectionStatus[GeneralBuppatIonnectionstatijsAddreeaT.ype:ManualhjConfiguredL'^JIFAddress:192.1681.1SubnetMask:255.255255.0DefadtG-steway：

主機(jī)均設(shè)置靜態(tài)的IP地址即可。3.虛擬網(wǎng)絡(luò)及Linux主機(jī)的配置(1)虛擬網(wǎng)絡(luò)配置：S.虛J以爾窄編栢器 x茗稱外部連接主析連崔CHCP子網(wǎng)也址VMneto櫛接模式自動(dòng)橋接---VMnetl僅王機(jī)???-已連接t!啟E192.168.13B.0vwniets陽(yáng)T模式跆丁模式已連接已啟用192.1BS.79.0灑加朗絡(luò)E... 移除網(wǎng)絡(luò)竺VMnet-邑?fù)I0斷接模式(將虛擬機(jī)直接連接到外部網(wǎng)絡(luò)XI町檸懂到(T)：自動(dòng) ^呂動(dòng)iSS(U)...@iNAT槿T'.',:月堰J；1HU享主王的IP電上；狗 NAT設(shè)呂㈢…O戈主機(jī)桓代(苻專托偲塔內(nèi)芒接虛陷叭】申；叼將主機(jī)虛擬適配器連接到此朗絡(luò)如主機(jī)曇H乖器石稱：VMware網(wǎng)堵話西己器VMnetSE?吏圧本地DHCP限劣捋IP地t| 卽給擊羽和〔吋 DHCF設(shè)H(PJ...工㈣F①：|M2一168.西、0| 子氓掩們(M}:|藥5.255,255,Q還履轉(zhuǎn)認(rèn)設(shè)蠱(R) ~薙~ 取消 應(yīng)用出 幫助(2)在iptables主機(jī)中打開(kāi)數(shù)據(jù)包轉(zhuǎn)發(fā)功能：修改/ect/sysctl.conf找到net,ipv4.ip_forward把0改成1。然后重啟主機(jī)

FileEditviewsearchT&nninalHeipKernelsysctlcon-igurationfileforRedHatLinux#Forbinaryvalues,o丄edisabled,1isenabled.seesyscllfs)andsysctlrconf(5)formoredetails..#controlsIPpacketTorvardingnet.ipv4.ip_forward=1|#Controlssourcerouteverificationnet.ipv斗.rar「-tkf■白u(yù)Lt,rpfilter=LDonoTacceptsourcerottingnet.ipv4.corf.defbuLt.acceptsourceroute=B養(yǎng)ControlstheSystemReqiestdebuggingfunctionalityofthekernelkernel.sysrq-0卡Contrcilswhethti-coreduirpsllappendtheFIDtothecorefilename.Usefulfordebuggingirulti-threadedapplicEstions.kernel.coreusespid=1ControlstheuseofTCFsyncookiesnet.ip#4.tcpsyncookies=1--TMSFRT--W1R：UArnnn:ChAnn1nnaiparinnl'jfIp 7.34 Ttim當(dāng)iptables主機(jī)設(shè)置轉(zhuǎn)發(fā)后（iptables服務(wù)啟動(dòng)，沒(méi)有手動(dòng)做規(guī)則）,拓?fù)鋱D的兩個(gè)網(wǎng)段能夠ping通。（3）Linux網(wǎng)卡的配置：使用vi編輯器，修改各個(gè)網(wǎng)卡中的IP和網(wǎng)關(guān)，設(shè)置ip地址獲取方式為靜態(tài)命令：vi/etc/sysconfig/network-scripts/ifcfg-ethO（網(wǎng)卡編號(hào)）配置完后用命令servicenetworkrestart重啟網(wǎng)絡(luò)服務(wù)即可讀取出修改后的配置F圖為L(zhǎng)inux2主機(jī)ethO的配置：因 vampire@bogon;/etc/sysconfig/network-scriptafileEditViewSearchlerminal廿巳IpDEVrCF="etb0"BOOTPROTO^"stat.c"HWADDR="09:0C:29:B9:AE:5C"MTU='1500"NH_CONTROLLED="yes"ONBOOT="yes"IPADDR^192.16B.3.1NETMASK=GATtEWA￥=1Iptables主機(jī)的網(wǎng)卡信息：

[vanipire^bogonDesktop]*ifconfigethOiInkencap：EthernetHWddflr00：OC：29:B9:AH：5Ci'letaddr:192.163..79.131Beast:55Mask:inetBaddr：fe80::20c：29ff:feb9:ae5c/64Scope:LinkUPBROADCASTRUNNINGMULTICASTNW：1560Metric：1RXpackets；1463errors；0dropped；9overruns；0frare；STXpackets：90errors：0dropped：Gaverruns：0carrier：0collisions^txqueuelen:1B-0GRXbytes;9554G(93.3KiB)TXbytes；16743(16.3KlBIlo Linkencap：LocalLoopbackinetaddr;：127.0.O..lMask;255.9.S.flinetGaddr：::1/128Scope：HostUPLOOPBACKRUNNINGMTU:16436Metric：!RXpackets；ISerrors；Qcropped；0overruns:Qframe；flTXpackets：10errors：0dropped：Gaverruns：0carrier：0collisions：0txqueu已Lin：?RXbytes;57B(578.Gb)TXbytes;576(578.0b)（4）查看iptables的信息：chnininput(policyaccept)targetprotoptsourcedestinationACCEPTall--anywhereanywherestateRELATEDJESTLI5HEDACCEPTiemp--anywheresanywhereACCEPTall--anywhereanywhereACCEPTcht匚卩--anywhereanywherestateNEWtepdptREJECTall?-anywhereanywherereject-withiemp-st-p「ohihitEdrhAinFomRD(policyaccept]target protoptsourceREJECT all--anywhereirt-unreachabledestiniatiDnanywherereject-withiemp-chainoutput(policyaccept}target protoptsourcedestinationACCEPT all--anvwtiereanywhereComputetVEmpirc'sHome環(huán)境配置完成。ComputetVEmpirc'sHomeWindows7kdilinuxBT5R1-GNOME-VM-32-iCTF2011ServerBT5R3-GNOME-VM-32h/letasploiteble_uibuntLpOWASPBrokenWebArWin2K3Metasploitabk四、實(shí)驗(yàn)測(cè)試分別用xp客戶機(jī)和web主機(jī)相互ping對(duì)方的ip，觀察是否ping通

IC:XDociimcntsmnd!SettincfsMlduiiinistratoj*>jpingj .IBS?2?4iP^jTiging192.16.8_2_4ulfch32 cfdata:pepfron192?1.石EL2?4：=bytes-32mc<ln3HejXlpfpoh192.166,2.4；bytes=32time<lraspepfFon1^2b16B.2_4-byt：es=32time<Instep1^fron192書(shū)bytes-22七imc<lrasIIL-12STTL-128ITL=128ITL-12SFin^rstatisticsfor192：F/ck兮ts： -勺#IIL-12STTL-128ITL=128ITL-12ShpjjjroMiimflteroundtriptimesinmilli-scconds=NinimiJim一Qms：.Haxlimjim一Sms,Au>e^age一Ums|C:風(fēng)nd!Euttinsrs氣nduiiinjjatmtiOL〉血C;\Windows\s^steni32\cmd.exelIdindoMS[版本G.1.7690]自自自Ping192.168.1192.168.1192.168.1復(fù)復(fù)復(fù)復(fù)

回回冋冋-orrTTfyp■JYlrji"!自自自Ping192.168.1192.168.1192.168.1復(fù)復(fù)復(fù)復(fù)

回回冋冋-orrTTfyp■JYlrji"!:ssss居mmmm#1111s<<<<"E可田粉時(shí)時(shí)対34'2222-_.r3333■■■■■■二32『節(jié)節(jié)節(jié)字字字字T