中科大高级计算机网络实验报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙实验报告
一.实验过程
1.编写Python源代码,命名为pyretic_firewall.py。保存在
~/pyretic/pyretic/examples中。
2.编写firewall-policies.csv源文件。保存在~/pyretic/pyretic/examples中。
3.在虚拟机mininet仿真器中创建网络拓扑。
4.在宿主机中连接虚拟机,运行程序。
5.运用tcpdump测试实验结果。
二.pyretic_firewall.py源代码及重要代码解释
from pyretic.lib.corelib import *
from pyretic.lib.std import *
#以上代码引用库函数
# insert the name of the module and policy you want to import
from pyretic.examples.pyretic_switch import act_like_switch
import os
import csv
from csv import DictReader
#以上代码引用自己所需的一些模块
policy_file = "%s/pyretic/pyretic/examples/firewall-policies.csv" %
os.environ[ 'HOME']
#以上代码为指定引用的文件的路径
#以下代码为main函数
def main():
# start with a policy that doesn't match any packets
# 初始化not_allowed变量
not_allowed = none
# and sdd traffic that isn't allowed
# read the firewall-policies.csv
#打开.csv文件并读取文件内容
with open(policy_file, "r") as csvfile:
dictreader = DictReader(csvfile)
#如果d在dictreader中,则添加到not_allowed 中
for d in dictreader:
#对不允许的路由进行匹配
not_allowed = not_allowed +
(match(srcmac=MAC(d['mac_0']))&match(dstmac=MAC(d['mac_1']))) + (match(srcmac=MAC(d['mac_1']))&match(dstmac=MAC(d['mac_0']))) #express allowed traffic in terms of not_allowed - hint use'~'
#将不允许的路由取反即为允许路由
allowed = ~not_allowed
# and only send allowed traffic to the mac learning (act_like_switch) logic # 将允许的路由作为pyretic_switch中act_like_switch()的输入return allowed>>act_like_switch()
三.firewall-policies.csv 文件内容:
四.运行结果截图及结果解释
(1)在虚拟机中运行程序,结果如下所示:
(2)打开Xming,利用Putty远程登录虚拟机:
登录后结果:
(3)创建含有6台Host的网络拓扑,命令及运行结果如下图:
(4)打开6台Host的xterm,结果如图:
(5)在终端4,5,6的xterm中,运行tcpdump:
(6)测试实验结果
①用h1 ping h4 ,测试结果下图所示,h1 ping h4 失败,说明设置的防火墙生效。
②用h2 ping h5 ,测试结果与上图类似,h2 ping h5失败,说明设置的防火墙生效。
③用h2 ping h5 ,测试结果与上图类似,h2 ping h5失败,说明设置的防火墙生效。
④用h1 ping h2 ,测试结果如下图,h1 ping h2 成功,说明不在.csv 文件中的终端可以相互通信。
⑤验证其余不在.csv 文件中的终端,都可以通信。
五. 实验总结
由于实验过程中对于Python语言运用的不熟悉,导致在写pyretic_firewall.py 文件时,出现很多次错误。不过,最终纠正了错误,完成了实验。在本次实验中,实现了通过文件调用作为防火墙原则的功能,可为以后防火墙的设置减轻不少工作量。