入侵检测与防火墙技术实训.doc

实训一 基于IPTABLES的包过滤防火墙的构建 一、实训目的： ·了解包过滤防火墙的工作原理。 ·掌握利用Iptables构建包过滤防火墙。 二、实训环境： 安装有VMWare虚拟机的计算机，Cisco路由器模拟器Dynamips，CD-Linux光盘镜像文件。 图1-1实验拓扑 三、实训内容 1、建立虚拟机。 2、模拟Cisco路由器。 3、配置Iptables。 4、配置路由器。 5、结果测试。 四、实训过程 1、建立虚拟机 新建虚拟机 改变虚拟机设置，点击【编辑虚拟机设置】按钮，如图1-2所示。 图1-2 移除软驱、USB、声卡等设备，如图1-2所示。 图1-3 添加网卡，点击图1-3中的【Add】按钮，出现如图1-4所示窗口，点击【Next】按钮。 图1-4 设置网卡和宿主主机网络之间的关系，选择【Host-only】，如图1-4所示。 图1-4 设置第一块网卡和宿主主机网络之间的关系，选择【Bridge】设置CD-ROM中ISO镜像文件的位置，如图1-6所示。 图1-6 2、配置Linux的网络地址 启动虚拟机 在命令提示符后输入如下命令 ifconfig eth0 172.16.x.y netmask 注意：IP地址172.16.x.y中的x用你所在机房的实际情况代替，y最好用你用的主机的IP地址加100。 在命令提示符后输入如下命令 ifconfig -a 查看网卡IP地址配置。记录下eth1网络接口卡的IP地址，一般为192.168.133.x。 3、把虚拟机和物理主机与Cisco路由器桥接 安装Winpcap。 获取网卡的以太网参数。启动Windows的命令行界面，在命令提示符后输入getmac。如图1-7，把图中红色椭圆中的内容复制下来。 图1-7 更改.net文件内容，把上个步骤中获得的参数替换掉图1-8中文件的内容 图1-9 MAC地址为00-50开始的参数替换到SW2中，另外一个替换到SW1中的内容，如图1-10所示。本步骤是把路由器通过虚拟的以太网交换机和虚拟机及物理主机桥接起来。 图1-10 4、虚拟Cisco路由器 启动路由器模拟器。 启动路由器模拟器管理平台，如图1-11所示。 图1-11 启动路由器，如图1-12所示。 图1-12 4、配置路由器R1 登录R1 配置F0/0接口 Routerenable Router#conf t Router(config)#interface f0/0 Router(config-if)#ip address 172.16.x.y Router(config-if)#no shutdown Router(config-if)#exit 注意：IP地址172.16.x.y中x是你所用机房中计算机所在的网络的地址，y用你给虚拟机设置的IP地址主机地址加1。 Router(config)#ip http server Router(config)#line vty 0 4 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#logg s Router(config-line)#exit Router(config)#ip route 172.16.x.y 注意：172.16.x.y是你计算机中虚拟机Linux系统的eth0网卡的IP地址。 3、配置路由器R2 登录R2 配置F0/0接口 Routerenable Router#conf t Router(config)#interface f0/0 Router(config-if)#ip address 192.168.133.x 注意：x不能和你虚拟机的eth1网卡的IP地址的主机地址重复。 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip http server Router(config)#line vty 0 4 Router(config-line)#password cisco Router(config-line)#login Router(config-line)#logg s Router(config-line)#exit Router(config)#ip route 192.168.133.y 注意：192.168.133.y是你计算机中虚拟Linux系统的eth1网卡的IP地址。 4、配置Iptables 语法格式： iptables [-AI] [INPUT,OUTPUT,FORWARD] [-io interface] [-p TCP,UDP] [-s IP/