用iptables构建Linux防火墙.doc

（2015-2016 第一学期） 题目：用iptables构建Linux防火墙 评 分 分 细 则 评分项 优秀 良好 中等 差 遵守机房规章制度 实验原理分析与设计 课题功能实现情况 设计验收与答辩 课程设计报告书写 简 短 评 语 教师签名： 年 月 日 评分等级 备注 用iptables构建Linux防火墙 实验目的 1) 掌握防火墙的基础架构 2）掌握利用iptables构建Linux防火墙的基本方法 3）掌握利用iptables实现NAT代理、IP伪装等高级 4）掌握的Shell脚本语言编程 。 实验环境 准备普通PC一台 在该PC上安装Red Hat Linux操作系统 在装有linux2.PC上，可以直接利用iptables实现防火墙功能，利用命令service iptables start或者启动菜单中启动该服务，并根据下面的参数说明，设置规则，然后利用本机的网络访问进行测试。过滤器是最老的防火墙，静态数据包过滤发生在网络层，也就是OSI模型的第三层上对于过滤防火墙来说，决定接受还是拒绝一个数据包取决于对数据包中IP头和协议头的特定区域的检查特定的区域包括： 数据 目的地址 或者协议 目的端口号 I软件是netfilter框架下定义的一个包过滤子系统Netfilter作为中间件在协议栈中提供了一些钩子函数Hooks）用户利用钩子插入自己的程序，扩展的功能 图1中IPv4共有5个钩子函数： 1、NF_IP_PRE_ROUTING 2、NF_IP_LOCAL_IN 3、NF_IP_FORWARD 4、NF_IP_POST_ROUTING 5、NF_IP_LOCAL_OUT 数据包从左边进入系统进行IP校验后，经过第一个钩子函数NF_IP_PRE_ROUTING进行处理；然后进入路由代码，它决定改数据包是转发还是发给本机； 若是发给本机，则该数据包经过钩子函数NF_IP_LOCAL_IN处理后传给上层协议； 若该数据包需转发则被NF_IP_FORWARD处理；然后，经过最后一个钩子函数NF_IP_POST_ROUTING处理后传到网络上； 本地产生的数据经钩子函数NF_IP_LOCAL_OUT处理后，进行路由选择处理，然后经NF_IP_POST_ROUTING处理发送到网络上。 四、实验步骤 在linux环境下进行系统初始化操作。 filter中所有的规则中的规则 规则 查看规则 设定filter table的预设政策，将所有侦测预设为拒绝，并进行网络检验ping命令限制，完成以下操作 本机可以ping他机，而阻止他机 可以ping，而阻止本机ping他机。 可以ping他机同时允许他机ping主机。 其检验方法端口命令的设置，并分别完成以下的操作。 禁止局域网访问外部网站 pd为远程提供FTP服务防火墙进行读取限制 ，但禁止某些外部IP访问 Telnet服务端口 其检验方法伪装命令设置将地址伪装为地址，例如X，并进行检验 在虚拟机中ping自己的主机 清除预设表filter中所有的规则中的规则并查看 添加规则，删除以及查看规则： 设定filter table的预设政策，将所有侦测预设为拒绝，并进行网络检验ping命令限制，完成以下操作 （1）本机可以ping他机，而阻止他机 (2) 他机可以ping，而阻止本机ping他机 (3)本机可以ping他机同时允许他机ping主机: 六、【思考题】 通常要把所有链的预设都设置成DROP？ 如果规则链中有两条规则是互相矛盾的，比如前一条是端口，后是打开这个端口，请问这出现什么情况 考虑限制其他常见的网络功能，例如对FTP、远程控制QQ服务网络功能施加限制。 - 8 -