一.实验描述
【实验背景】
IP-Table是与最新的2.6.x版本Linux内核
集成的IP信息包过滤
系统。如果Linux系统连接到因 记王忠肃公翱事
特网或LAN的服务器,或连接到LAN和因特网的代理服务器, 则该系统有利于在 Linux系统上更好地控制IP 信息包过滤和防火墙配置。
netfilter/IP-Table IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 【实验目的】
根据实验要求配置IP-Table,掌握IP-Table规则的编写。
【实验环境】
虚拟机使用信息: VirtualBox 与 Vmware
蒸汽弹射Linux 版本信息: Ubuntu 12.04.2 (Final)
Linux 内核版本: 3.8.0
二.实验准备
在进行IP-Table设置前需要搭建实验环境,实验所需的环境配置如下图所示:
【基于实验指导书Lab-6】
其中,1号机、3号机是内网计算机,2号机为网关,最右边蓝区域为外网。实验环境搭建成功之后,需要完成下面的实验步骤:
【Part A】
1、在2号机上用NAT表的POSTROUTING链配置NAT
黄天道1)伪装(MASQUERADE)包使内网的IP地址从外网隐藏
2)从1号机和3号机,只允许通过SSH连接到外网
2、此步骤的NAT配置在整个实验过程中持续有效
【Part B】
为来自或者到达2号机(网关)的包编写规则,到达以下目的: 35kv变电站1、允许来自或者到达2号机的SSH连接
2、允许来自或者到达2号机的ping连接
3、阻断来自或者到达2号机的其他所有通信
4、提示:Part B需要INPUT和OUTPUT链,但不需要FORWARD链
【Part C】
1、清除Part B中filter表设置的规则
2、仅允许1号机(不允许3号机)向外网中的主机发起SSH通信
3、阻断其他所有通信
4、提示:Part C需要FORWARD,INPUT和OUTPUT链
三.IP-Table规则分析
【IP-Table规则】——基于网络百科知识(摘要)
功效:
IP-Table规则指定所检查包的特征和目标。如果包不匹配某条规则,将送往该链中下一条规则检查。 1)目标值(TARGETS)
目标值可以是用户定义的链名,也可以是某个专用值,如:ACCEPT(通过)、DROP(删除)、QUEUE(排队)或者RETURN(返回)。
ACCEPT:表示让这个包通过;
DROP:表示将这个包丢弃;
QUEUE:表示把这个包传递到用户空间;
RETURN:表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链的末端,或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
2)表(TABLES)
-t table:指定命令要操作的匹配包的表。在IP-Table规则中有三个表,分别为:
filter:这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWARD(处理通过的包)和OUTPUT(处理本地生成的包)。
nat:这个表被查询时表示遇到了产生新的连接的包。它许渊冲由三个内建的链构成:PREROUTING (修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改准备出去的包)。
mangle:这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路
由之前进入的包)和OUTPUT(修改路由之前本地的包)。
3)选项(OPTIONS)
可被IP-Table识别的选项可以区分不同的种类,分别为:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议