《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第1页实验六:系统防火墙管理一、实验目的1、理解iptables的工作原理;2、掌握iptables防火墙的安装与配置;3、掌握iptables防火墙的基本操作方法,能够熟练使用防火墙.
二、实验学时2学时三、实验类型验证性四、实验需求1、硬件每人配备计算机1台,不低于双核CPU、8G内存、500GB硬盘.
2、软件Windows操作系统,安装VirtualBox虚拟化软件,安装Putty管理终端软件,安装Nmap工具软件.
3、网络计算机使用固定IP地址接入局域网,并支持对互联网的访问,虚拟主机可通过NAT方式访问互联网.
4、工具无.
五、实验任务1、完成iptables防火墙的安装与配置;2、完成iptables防火墙规则的管理,满足实验的场景要求.
六、实验内容及步骤1、iptables的安装与管理(1)防火墙检测①关闭CentOS的firewall防火墙,并取消开机自动启动,其操作命令如下.
#systemctlstopfirewalld#systemctldisablefirewalld②一般情况下,iptables已经包含在Linux系统中,可以通过命令来检测系统是否已经《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第2页安装iptables,其操作命令如下,检测结果如图6-1所示则表示系统已经安装iptables防火墙.
#iptables--version③检查是否安装iptables-services,其操作命令如下.
#systemctlstatusiptables若出现如图6-2所示的结果则说明iptables服务未安装,若出现如图6-3所示的结果则说明iptables服务已安装.
(2)安装iptables软件安装iptables以及iptablesservices服务软件,其操作命令如下.
#yuminstall-yiptables#yuminstall–yiptables-services(3)iptables服务配置进行iptables服务管理,其操作命令如下.
##开启iptables服务#systemctlstartiptables##设置开机自动启动#systemctlenableiptables##关闭iptables服务#systemctlstopiptables##重启iptables服务#systemctlrestartiptables##取消开机自动启动#systemctldisableiptables考核点6-1:查看iptables防火墙的配置信息,并填写到实验报告册.
图6-1检测iptables是否安装图6-2iptablesservice未安装图6-3iptablesservice已安装《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第3页2、iptables的基本配置(1)规则的查看使用以下命令进行防火墙规则查看.
#iptables-n-L考核点6-2:将系统防火墙默认规则信息填写到实验报告册.
(2)规则的添加①端口配置开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-jACCEPT#iptables-AOUTPUT-ptcp--sport22-jACCEPT关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令如下所示.
#iptables-AINPUT-ptcp--dport445-jDROP#iptables-AOUTPUT-ptcp--sport445-jDROP配置服务端口,如配置允许通过HTTP访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ptcp--dporthttp-jDROP②IP地址配置拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx-jDROP拒绝某IP地址段,如拒绝某IP地址段中任一地址访问系统,且系统拒绝访问该IP地址段中任一IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx/xx-jDROP③IP地址与端口结合拒绝某IP地址访问某端口,如拒绝某一单独IP地址访问系统的22端口(TCP协议),其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-ptcp--dport22-jDROP允许某段IP地址访问系统的服务端口,如允许某段IP地址访问系统的HTTP服务端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-ptcp--dporthttp-jACCEPT④网络协议配置配置拒绝ICMP协议通过,如配置拒绝网络中通过PING方式发现系统IP地址,其配置命令如下.
#iptables-AINPUT-picmp-jDROP⑤网卡接口配置《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第4页iptables防火墙可单独为某个网卡接口设定不同的策略规则,如不允许任何主机通过防火墙本机的eth0网卡访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ieth0-ptcp--dport80-jDROP⑥MAC地址配置拒绝某MAC地址主机的所有通信请求访问,其配置命令如下.
#iptables-AINPUT-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP拒绝网络中某一固定IP地址且固定MAC地址的主机访问系统任意端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP允许网络中某一固定IP地址且固定MAC地址的主机访问系统的22号端口,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jACCEPT考核点6-3:根据上述场景规则,完成配置后将防火墙规则信息填写到实验报告册.
(3)规则的测试①软件获取.
获取端口扫描工具Zenmap软件可通过本课程网站(http://linux.
xg.
hactcm.
edu.
cn)下载获得,也可通过Zenmap官方网站(https://nmap.
org/zenmap)下载获得,如图6-4所示.
本实验所使用的Zenmap软件为nmap-7.
60-setup.
exe.
②软件安装.
点击下载的EXE执行安装文件,可根据安装过程提示进行默认选择安装.
③软件使用.
打开工具,展示如图6-2所示工具界面.
在"配置"下拉框中选择"Regularscan"(使用规则扫描),在"命令"输入框输入"nmap–p1-1024-T4–A-v172.
16.
124.
127"命令规则,点击【扫描】按钮,工具将自动扫描IP地址为"172.
16.
124.
127"的主机,其1-1024端口的状态情况.
图6-4Zenmap官网《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第5页④信息查看.
在"Nmap输出"选项卡中可查看扫描的过程,如图6-2所示,通过该工具可测试防火墙规则配置是否正确且生效.
考核点6-4:将测试主机端口状态结果截图填写到实验报告册.
3、iptables的应用请根据下面的要求,完成防火墙的配置.
①允许来自于IPA地址的报文,通过UDP方式,访问系统的4486端口.
②丢弃来至IPB地址的使用TCP方式,访问系统20和21端口的报文.
③允许IP地址属于xxx.
xxx.
xxx.
xxx/x段的主机、由指定eth0网口,通过SSH远程连接本机.
④允许IP地址为C的主机通过422端口进行SSH远程连接本机.
⑤将来自IPD地址的主机使用TCP协议,访问21端口的数据包信息记录到messages日志中.
⑥当超过100个用户同时访问系统的80端口时,限制每分钟最大连接数为25个,防止系统遭受DOS攻击.
考核点6-5:根据上述步骤与要求,将操作命令与结果填写到实验报告册.
七、实验扩展1、防火墙(1)防火墙一共有几种分别是什么,主要作用是什么(2)iptables防火墙是工作在计算机网络的哪一层上的2、iptables防火墙规则(1)iptables防火墙规则除了可以通过配置端口、IP地址,还能通过配置哪些选项来图6-5扫描结果《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第6页制定防火墙策略请举例说明.
(2)如何将防火墙规则进行备份
DMIT怎么样?DMIT是一家美国主机商,主要提供KVM VPS、独立服务器等,主要提供香港CN2、洛杉矶CN2 GIA等KVM VPS,稳定性、网络都很不错。支持中文客服,可Paypal、支付宝付款。2020年推出的香港国际线路的KVM VPS,大带宽,适合中转落地使用。现在有永久9折优惠码:July-4-Lite-10OFF,季付及以上还有折扣,非 中国路由优化;AS4134,AS4837 均...
diyvm怎么样?diyvm这是一家低调国人VPS主机商,成立于2009年,提供的产品包括VPS主机和独立服务器租用等,数据中心包括香港沙田、美国洛杉矶、日本大阪等,VPS主机基于XEN架构,均为国内直连线路,主机支持异地备份与自定义镜像,可提供内网IP。最近,DiyVM商家对香港机房VPS提供5折优惠码,最低2GB内存起优惠后仅需50元/月。点击进入:diyvm官方网站地址DiyVM香港机房CN...
georgedatacenter怎么样?GeorgeDatacenter是一家2017年成立的美国商家,正规注册公司(REG: 10327625611),其实是oneman。现在有优惠,有几款特价VPS,基于Vmware。支持Paypal付款。GeorgeDatacenter目前推出的一款美国vps,2核/8GB内存/250GB NVMe空间/2TB流量/1Gbps端口/Vmware/洛杉矶/达拉...
linux防火墙设置为你推荐
phpcms模板phpcms v9 模板设置支付宝蜻蜓发布怎么取得支付宝蜻蜓二代的代理?360退出北京时间怎样让电脑时间与北京时间相同360退出北京时间北京时间校准显示时间filezillaserver怎么用FileZilla Server 0.9.27 绿色汉化版软件?ym.163.com网易163企业邮箱的foxmail怎样设置?163yeahyeah邮箱和163邮箱的区别在哪里 那个好用支付宝调整还款日支付宝调整花呗还款日,这个调整有没有对你造成什么影响?360免费建站我用的360免费建站,但自己买的一级域名要先备案,360不提供备案,我要怎么做才能把我的域名绑定网站啊?本公司www
虚拟主机控制面板 北京租服务器 域名停靠一青草视频 韩国加速器 视频存储服务器 青果网 国外网站代理服务器 警告本网站美国保护 东莞数据中心 vip域名 免费mysql数据库 可外链的相册 中国联通宽带测试 网站防护 SmartAXMT800 512内存 cdn加速技术 游戏服务器 挂马检测工具 瓦工工具 更多