网络安全之防火墙实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附录C 网络安全之防火墙实验
利用Linux 自带的iptables 配置防火墙
实验目的:熟悉iptables 构建防火墙方法,掌握防火墙策略配置要点 实验环境:Linux8.0
环境假设:现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机
的IP 地址为:192.168.1.1,假设目前防火墙是进行代理上网。#阻止任何外部世界直接与防火墙内部网段直接通讯#允许内部用户通过防火墙访问外部HTTP 服务器允许内部用户通过防火墙防问外部HTTPS 服务器#允许内部用户通过防火墙防问外部FTP 服务器。
网段示意图为:
实验步骤:
1. 查看iptables 基本信息:
[root@NetShare linux-2.4]# rpm -qa|grep iptables
iptables-1.2.6a-2
iptables 的rpm 包已经安装上了,不过还要看一下内核的支持情况,也决定了iptables 所能发挥的功效
2. 安装配置硬件:
先在linux 机器中安装两块网卡,配置网卡IP 地址。
环境:内网为192.168.1.0网段,外网DDN 为211.119.1.0网段。外网网关为211.119.1.1 配置的网关服务器内网IP 为192.168.1.30, 外网IP 为211.119.1.30,两个地址绑定在一 块网卡上,(双网卡当然更好了)。
改文件永久配置
(1)修改 /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=server
GATEWAY=211.119.1.1删除
GATEWAYDEV=eth0:1
192.168.1.30 211.119.1.30
192.168.1.1 211.119.1.1
(2)在/etc/sysconfig/network-scripts目录下创建文件ifcfg-eth0:1 DEVICE=eth0:1
ONBOOT=yes 启动人
BROADCAST=211.119.1.8 删除
NETWORK=211.119.1.0
NETMASK=255.255.255.0
IPADDR=211.119.1.1 #本机在上级网络的ip
(3)用/etc/rc.d/init.d/network restart 使IP配置生效
(4)检查配置:
ifconfig
3.设置代理转发功能:
(1)建立防火墙脚本文件
cd /etc/rc.d/
touch firewall.rules
规则编写:
利用iptables的写如下脚本firewall.rules:
echo 1 > /proc/sys/net/ipv4/ip_forward 打开ip转发
#!/bin/sh
#refresh all firewall rules 加载必要的模块
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP 设置链默认的规则
iptables -P OUTPUT DROP
规则生效
./firewall.rules
功能测试
ping 192.168.1.30
http:// 192.168.1.30/
ftp:// 192.168.1.30/
将gw.sh改成可执行权限运行,其他机器以之为网关,即可上网!
也可加在/ect/rc.d/rc.local最后达到开机自动运行的目的。
这是利用iptables实现最简单的功能。
规则编写
利用iptables的写如下脚本gw.sh:
echo 1 > /proc/sys/net/ipv4/ip_forward
#!/bin/sh
#refresh all firewall rules
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
规则生效
cd init.d
./iptables restart
cd ..
./firewall.rules
功能测试
ping 192.168.1.30
http:// 192.168.1.30/
ftp:// 192.168.1.30/
4.设置访问控制规则:
阻止任何外部世界直接与防火墙内部网段直接通讯
允许内部用户通过防火墙访问外部HTTP服务器
允许内部用户通过防火墙防问外部HTTPS服务器
允许内部用户通过防火墙防问外部FTP服务器
规则编写
echo 1 > /proc/sys/net/ipv4/ip_forward
#!/bin/sh
#refresh all firewall rules
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -A FORWARD -s 192.168.3.152/24 -p icmp -j ACCEPT 允许外部机器ping通内部机器
iptables -A FORWARD -s 192.168.2.30/24 -j ACCEPT 允许内部网段所有用户随意进出防火墙的内部网卡接口
iptables -A FORWARD -s 192.168.3.152/24 -p tcp --dport 80 -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
规则生效