《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第1页实验六:系统防火墙管理一、实验目的1、理解iptables的工作原理;2、掌握iptables防火墙的安装与配置;3、掌握iptables防火墙的基本操作方法,能够熟练使用防火墙.
二、实验学时2学时三、实验类型验证性四、实验需求1、硬件每人配备计算机1台,不低于双核CPU、8G内存、500GB硬盘.
2、软件Windows操作系统,安装VirtualBox虚拟化软件,安装Putty管理终端软件,安装Nmap工具软件.
3、网络计算机使用固定IP地址接入局域网,并支持对互联网的访问,虚拟主机可通过NAT方式访问互联网.
4、工具无.
五、实验任务1、完成iptables防火墙的安装与配置;2、完成iptables防火墙规则的管理,满足实验的场景要求.
六、实验内容及步骤1、iptables的安装与管理(1)防火墙检测①关闭CentOS的firewall防火墙,并取消开机自动启动,其操作命令如下.
#systemctlstopfirewalld#systemctldisablefirewalld②一般情况下,iptables已经包含在Linux系统中,可以通过命令来检测系统是否已经《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第2页安装iptables,其操作命令如下,检测结果如图6-1所示则表示系统已经安装iptables防火墙.
#iptables--version③检查是否安装iptables-services,其操作命令如下.
#systemctlstatusiptables若出现如图6-2所示的结果则说明iptables服务未安装,若出现如图6-3所示的结果则说明iptables服务已安装.
(2)安装iptables软件安装iptables以及iptablesservices服务软件,其操作命令如下.
#yuminstall-yiptables#yuminstall–yiptables-services(3)iptables服务配置进行iptables服务管理,其操作命令如下.
##开启iptables服务#systemctlstartiptables##设置开机自动启动#systemctlenableiptables##关闭iptables服务#systemctlstopiptables##重启iptables服务#systemctlrestartiptables##取消开机自动启动#systemctldisableiptables考核点6-1:查看iptables防火墙的配置信息,并填写到实验报告册.
图6-1检测iptables是否安装图6-2iptablesservice未安装图6-3iptablesservice已安装《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第3页2、iptables的基本配置(1)规则的查看使用以下命令进行防火墙规则查看.
#iptables-n-L考核点6-2:将系统防火墙默认规则信息填写到实验报告册.
(2)规则的添加①端口配置开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-jACCEPT#iptables-AOUTPUT-ptcp--sport22-jACCEPT关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令如下所示.
#iptables-AINPUT-ptcp--dport445-jDROP#iptables-AOUTPUT-ptcp--sport445-jDROP配置服务端口,如配置允许通过HTTP访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ptcp--dporthttp-jDROP②IP地址配置拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx-jDROP拒绝某IP地址段,如拒绝某IP地址段中任一地址访问系统,且系统拒绝访问该IP地址段中任一IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx/xx-jDROP③IP地址与端口结合拒绝某IP地址访问某端口,如拒绝某一单独IP地址访问系统的22端口(TCP协议),其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-ptcp--dport22-jDROP允许某段IP地址访问系统的服务端口,如允许某段IP地址访问系统的HTTP服务端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-ptcp--dporthttp-jACCEPT④网络协议配置配置拒绝ICMP协议通过,如配置拒绝网络中通过PING方式发现系统IP地址,其配置命令如下.
#iptables-AINPUT-picmp-jDROP⑤网卡接口配置《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第4页iptables防火墙可单独为某个网卡接口设定不同的策略规则,如不允许任何主机通过防火墙本机的eth0网卡访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ieth0-ptcp--dport80-jDROP⑥MAC地址配置拒绝某MAC地址主机的所有通信请求访问,其配置命令如下.
#iptables-AINPUT-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP拒绝网络中某一固定IP地址且固定MAC地址的主机访问系统任意端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP允许网络中某一固定IP地址且固定MAC地址的主机访问系统的22号端口,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jACCEPT考核点6-3:根据上述场景规则,完成配置后将防火墙规则信息填写到实验报告册.
(3)规则的测试①软件获取.
获取端口扫描工具Zenmap软件可通过本课程网站(http://linux.
xg.
hactcm.
edu.
cn)下载获得,也可通过Zenmap官方网站(https://nmap.
org/zenmap)下载获得,如图6-4所示.
本实验所使用的Zenmap软件为nmap-7.
60-setup.
exe.
②软件安装.
点击下载的EXE执行安装文件,可根据安装过程提示进行默认选择安装.
③软件使用.
打开工具,展示如图6-2所示工具界面.
在"配置"下拉框中选择"Regularscan"(使用规则扫描),在"命令"输入框输入"nmap–p1-1024-T4–A-v172.
16.
124.
127"命令规则,点击【扫描】按钮,工具将自动扫描IP地址为"172.
16.
124.
127"的主机,其1-1024端口的状态情况.
图6-4Zenmap官网《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第5页④信息查看.
在"Nmap输出"选项卡中可查看扫描的过程,如图6-2所示,通过该工具可测试防火墙规则配置是否正确且生效.
考核点6-4:将测试主机端口状态结果截图填写到实验报告册.
3、iptables的应用请根据下面的要求,完成防火墙的配置.
①允许来自于IPA地址的报文,通过UDP方式,访问系统的4486端口.
②丢弃来至IPB地址的使用TCP方式,访问系统20和21端口的报文.
③允许IP地址属于xxx.
xxx.
xxx.
xxx/x段的主机、由指定eth0网口,通过SSH远程连接本机.
④允许IP地址为C的主机通过422端口进行SSH远程连接本机.
⑤将来自IPD地址的主机使用TCP协议,访问21端口的数据包信息记录到messages日志中.
⑥当超过100个用户同时访问系统的80端口时,限制每分钟最大连接数为25个,防止系统遭受DOS攻击.
考核点6-5:根据上述步骤与要求,将操作命令与结果填写到实验报告册.
七、实验扩展1、防火墙(1)防火墙一共有几种分别是什么,主要作用是什么(2)iptables防火墙是工作在计算机网络的哪一层上的2、iptables防火墙规则(1)iptables防火墙规则除了可以通过配置端口、IP地址,还能通过配置哪些选项来图6-5扫描结果《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第6页制定防火墙策略请举例说明.
(2)如何将防火墙规则进行备份
vinahost怎么样?vinahost是一家越南的主机商家,至今已经成13年了,企业运营,老牌商家,销售VPS、虚拟主机、域名、邮箱、独立服务器等,机房全部在越南,有Viettle和VNPT两个机房,其中VNPT机房中三网直连国内的机房,他家的产品优势就是100Mbps不限流量。目前,VinaHost商家发布了新的优惠,购买虚拟主机、邮箱、云服务器、VPS超过三个月都有赠送相应的时长,最高送半年...
提速啦简单介绍下提速啦 是成立于2012年的IDC老兵 长期以来是很多入门级IDC用户的必选商家 便宜 稳定 廉价 是你创业分销的不二之选,目前市场上很多的商家都是从提速啦拿货然后去分销的。提速啦最新物理机活动 爆炸便宜的香港CN2物理服务器 和 日本CN2物理服务器香港CTG E5 2650 16G内存 20M CN2带宽 1T硬盘 150元/月日本CN2 E5 2650 16G内存 20M C...
这不端午节和大家一样回家休息几天,也没有照顾网站的更新。今天又出去忙一天没有时间更新,这里简单搜集看看是不是有一些商家促销活动,因为我看到电商平台各种推送活动今天又开始一波,所以说现在的各种促销让人真的很累。比如在前面我们也有看到PacificRack 商家发布过年中活动,这不在端午节(昨天)又发布一款闪购活动,有些朋友姑且较多是端午节活动,刚才有看到活动还在的,如果有需要的朋友可以看看。第一、端...
linux防火墙设置为你推荐
您的applephpadmin下载求张艺兴《莲》mp3下载iproute网关怎么设置?iprouteip route-static 192.168.1.0 255.255.255.0 3.3.3.2什么意思开启javascript怎样手动开启Javascript开启javascript如何启用JavaScript?开启javascript开启 JavaScript,开启javascript怎么在浏览器中启用JavaScript?开启javascript怎样打开JavaScript?开启javascript启用javascript是甚么意思
香港vps主机 winscp stablehost 加勒比群岛 2014年感恩节 softbank官网 网站实时监控 元旦促销 我爱水煮鱼 国外免费全能空间 metalink 香港亚马逊 smtp虚拟服务器 免费asp空间 华为k3 注册阿里云邮箱 成都主机托管 国外网页代理 后门 杭州电信宽带 更多