计算机安全Linux防火墙实验SEED.docVIP

Linux Firewall Exploration Lab Machine A IP: 31 Machine B IP: 32 Machine C IP: 33 任务1: 使用防火墙 - sudo ufw enable - sudo ufw disable - sudo ufw status 任务a) Prevent A from doing telnet to Machine B. 任务b) Prevent B from doing telnet to Machine A. 1、Machine A - sudo ufw enable Machine B result: 2、Machine A - sudo ufw disable Machine B result: 任务c) Prevent A from visiting an external web site. Machine A - sudo ufw deny out to 0 --- 0 任务 2: 防火墙内部怎样工作 在过去，实现防火墙功能需要去重新编译Linux的内核，也就是需要编辑内核代码并且重建整个内核映像。这样做费时费力。但是，现在的Linux操作系统提供了一些新的机制减轻我们的负担，即不需要重新编译整个内核即可实现防火墙功能。下面将介绍的两种机制就是Loadable Kernel Module(LKM) and Netfilter. LKM可加载内核模块 LKM允许外部在内核仍处于运行状态时向内核添加一个新的模块。这个新加入的内核可以实现内核功能的定向扩展，并且不需要重新编译内核或者重新启动计算机。 其内部必须包含两个函数：init_module()和clean()函数。 Netfilter Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点HOOK，而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能）。 IP层的五个HOOK点的位置如下图所示： 问题 1: Netfilter支持哪些类型的检测点，我们利用监测点可以实现什么？ 答：netfilter支持以下五个监测点： 1) NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验和等检测）， 目的地址转换在此点进行； 2) NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行； 3) NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行； 4) NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行； 5) NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。 问题 2: 进入过滤在哪里放置监测点，外出过滤呢？ 答：进入过滤在NF_IP_PRE_ROUTING、 NF_IP_LOCAL_IN、NF_IP_FORWARD放置监测点。外出过滤在NF_IP_POST_ROUTING、NF_IP_LOCAL_OUT放置监测点。 任务：利用LKM和Netfilter实现防火墙规则 编写代码模块 目标：阻止来自Machine C的一切访问 监测点设置：NF_INET_PRE_ROUTING 加载编写好的模块 结果 任务 3: 规避外出过滤 Machine A 运行在防火墙后（阻止所有的外出telnet访问，即23端口） Machine B 不设定防火墙，在防火墙之外 Machine C 运行telnet服务器 三个虚拟机的状态图如下所示： SSH通道技术 它建立一条安全通道在源主机与目标主机之间，有时还可以涉及多台机器。SSH通道使用22号端口。通过SSH通道可以实现禁用telnet服务，仍能远程访问目标主机的功能。 任务a) Machine A 穿过防火墙telnet Machine C - ssh -L 8000:Machine_C_IP:23 seed@Machine_B_IP - telnet localhost 8000 结果： 任务b) 使用SSH隧道连接BIT首页 1、禁止访问BIT首页： 2、- ssh -D 9000 -