防火墙linux防火墙设置

《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第1页实验六:系统防火墙管理一、实验目的1、理解iptables的工作原理;2、掌握iptables防火墙的安装与配置;3、掌握iptables防火墙的基本操作方法,能够熟练使用防火墙.
二、实验学时2学时三、实验类型验证性四、实验需求1、硬件每人配备计算机1台,不低于双核CPU、8G内存、500GB硬盘.
2、软件Windows操作系统,安装VirtualBox虚拟化软件,安装Putty管理终端软件,安装Nmap工具软件.
3、网络计算机使用固定IP地址接入局域网,并支持对互联网的访问,虚拟主机可通过NAT方式访问互联网.
4、工具无.
五、实验任务1、完成iptables防火墙的安装与配置;2、完成iptables防火墙规则的管理,满足实验的场景要求.
六、实验内容及步骤1、iptables的安装与管理(1)防火墙检测①关闭CentOS的firewall防火墙,并取消开机自动启动,其操作命令如下.
#systemctlstopfirewalld#systemctldisablefirewalld②一般情况下,iptables已经包含在Linux系统中,可以通过命令来检测系统是否已经《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第2页安装iptables,其操作命令如下,检测结果如图6-1所示则表示系统已经安装iptables防火墙.
#iptables--version③检查是否安装iptables-services,其操作命令如下.
#systemctlstatusiptables若出现如图6-2所示的结果则说明iptables服务未安装,若出现如图6-3所示的结果则说明iptables服务已安装.
(2)安装iptables软件安装iptables以及iptablesservices服务软件,其操作命令如下.
#yuminstall-yiptables#yuminstall–yiptables-services(3)iptables服务配置进行iptables服务管理,其操作命令如下.
##开启iptables服务#systemctlstartiptables##设置开机自动启动#systemctlenableiptables##关闭iptables服务#systemctlstopiptables##重启iptables服务#systemctlrestartiptables##取消开机自动启动#systemctldisableiptables考核点6-1:查看iptables防火墙的配置信息,并填写到实验报告册.
图6-1检测iptables是否安装图6-2iptablesservice未安装图6-3iptablesservice已安装《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第3页2、iptables的基本配置(1)规则的查看使用以下命令进行防火墙规则查看.
#iptables-n-L考核点6-2:将系统防火墙默认规则信息填写到实验报告册.
(2)规则的添加①端口配置开启需要的端口,如配置TCP协议的22端口允许进出系统,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-jACCEPT#iptables-AOUTPUT-ptcp--sport22-jACCEPT关闭不安全的端口,如配置不允许通过TCP协议的445端口进出系统,其配置命令如下所示.
#iptables-AINPUT-ptcp--dport445-jDROP#iptables-AOUTPUT-ptcp--sport445-jDROP配置服务端口,如配置允许通过HTTP访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ptcp--dporthttp-jDROP②IP地址配置拒绝某单一IP地址,如拒绝某一单独IP地址访问系统,且系统拒绝访问该IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx-jDROP拒绝某IP地址段,如拒绝某IP地址段中任一地址访问系统,且系统拒绝访问该IP地址段中任一IP地址,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-jDROP#iptables-AOUTPUT-dxxx.
xxx.
xxx.
xxx/xx-jDROP③IP地址与端口结合拒绝某IP地址访问某端口,如拒绝某一单独IP地址访问系统的22端口(TCP协议),其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx-ptcp--dport22-jDROP允许某段IP地址访问系统的服务端口,如允许某段IP地址访问系统的HTTP服务端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/xx-ptcp--dporthttp-jACCEPT④网络协议配置配置拒绝ICMP协议通过,如配置拒绝网络中通过PING方式发现系统IP地址,其配置命令如下.
#iptables-AINPUT-picmp-jDROP⑤网卡接口配置《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第4页iptables防火墙可单独为某个网卡接口设定不同的策略规则,如不允许任何主机通过防火墙本机的eth0网卡访问系统的80端口,其配置命令如下.
#iptables-AINPUT-ieth0-ptcp--dport80-jDROP⑥MAC地址配置拒绝某MAC地址主机的所有通信请求访问,其配置命令如下.
#iptables-AINPUT-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP拒绝网络中某一固定IP地址且固定MAC地址的主机访问系统任意端口,其配置命令如下.
#iptables-AINPUT-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jDROP允许网络中某一固定IP地址且固定MAC地址的主机访问系统的22号端口,其配置命令如下.
#iptables-AINPUT-ptcp--dport22-sxxx.
xxx.
xxx.
xxx/x-mmac--mac-sourceXX:XX:XX:XX:XX:XX-jACCEPT考核点6-3:根据上述场景规则,完成配置后将防火墙规则信息填写到实验报告册.
(3)规则的测试①软件获取.
获取端口扫描工具Zenmap软件可通过本课程网站(http://linux.
xg.
hactcm.
edu.
cn)下载获得,也可通过Zenmap官方网站(https://nmap.
org/zenmap)下载获得,如图6-4所示.
本实验所使用的Zenmap软件为nmap-7.
60-setup.
exe.
②软件安装.
点击下载的EXE执行安装文件,可根据安装过程提示进行默认选择安装.
③软件使用.
打开工具,展示如图6-2所示工具界面.
在"配置"下拉框中选择"Regularscan"(使用规则扫描),在"命令"输入框输入"nmap–p1-1024-T4–A-v172.
16.
124.
127"命令规则,点击【扫描】按钮,工具将自动扫描IP地址为"172.
16.
124.
127"的主机,其1-1024端口的状态情况.
图6-4Zenmap官网《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第5页④信息查看.
在"Nmap输出"选项卡中可查看扫描的过程,如图6-2所示,通过该工具可测试防火墙规则配置是否正确且生效.
考核点6-4:将测试主机端口状态结果截图填写到实验报告册.
3、iptables的应用请根据下面的要求,完成防火墙的配置.
①允许来自于IPA地址的报文,通过UDP方式,访问系统的4486端口.
②丢弃来至IPB地址的使用TCP方式,访问系统20和21端口的报文.
③允许IP地址属于xxx.
xxx.
xxx.
xxx/x段的主机、由指定eth0网口,通过SSH远程连接本机.
④允许IP地址为C的主机通过422端口进行SSH远程连接本机.
⑤将来自IPD地址的主机使用TCP协议,访问21端口的数据包信息记录到messages日志中.
⑥当超过100个用户同时访问系统的80端口时,限制每分钟最大连接数为25个,防止系统遭受DOS攻击.
考核点6-5:根据上述步骤与要求,将操作命令与结果填写到实验报告册.
七、实验扩展1、防火墙(1)防火墙一共有几种分别是什么,主要作用是什么(2)iptables防火墙是工作在计算机网络的哪一层上的2、iptables防火墙规则(1)iptables防火墙规则除了可以通过配置端口、IP地址,还能通过配置哪些选项来图6-5扫描结果《操作系统》实验指导书/实验六:系统防火墙管理信息管理与信息系统教研室/阮晓龙/13938213680/第6页制定防火墙策略请举例说明.
(2)如何将防火墙规则进行备份