Iptables服务器配置与管理文档格式.docx
《Iptables服务器配置与管理文档格式.docx》由会员分享,可在线阅读,更多相关《Iptables服务器配置与管理文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
3、包过滤防火墙的配置方法
4、NAT的配置方法
实验环境
VPC1(虚拟PC)
操作系统类型:
linux,网络接口:
eth0
VPC1
连接要求
PC网络接口,本地连接与实验网络直连
软件描述
1、学生机要求安装java环境
2、vpc安装linux
实验环境描述
1、学生机与实验室网络直连;
2、VPC1与实验室网络直连;
3、学生机与VPC1物理链路连通;
预备知识
1、iptables是与Linux内核集成的IP信息包过滤系统。
如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
2、netfilter/iptablesIP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。
这些规则存储在专用的信息包过滤表
中,而这些表集成在Linux内核中。
在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然netfilter/iptablesIP信息包过滤系统被称为单个实体,但它实际上由两个组件
netfilter
和iptables组成。
3、netfilter组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
4、iptables组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中规则变得容易。
5、iptables包含4个表,5个链。
其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。
4个表:
filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。
表的处
理优先级:
raw>
mangle>
nat>
filter。
filter:
一般的过滤功能
nat:
用于nat功能(端口映射,地址映射等)
mangle:
用于对特定数据包的修改
raw:
有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5、5个链:
PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:
数据包进入路由表之前
INPUT:
通过路由表后目的地为本机
FORWARDING:
通过路由表后,目的地不为本机
OUTPUT:
由本机产生,向外转发
POSTROUTIONG:
发送到网卡接口之前。
实验内容
1、防火墙的概念和工作原理
2、Iptables的结构和工作原理
3、包过滤防火墙的配置方法
实验步骤
1、学生单击实验拓扑按钮,进入实验场景,单击hoenypot按钮,进入目标主机,(第一次启动目标主机,还需要安装java控件),如图所示:
2、学生输入账号root,密码123456,登录到实验场景中的目标主机。
如图所示:
3、Linux下默认已经安装了iptables软件包。
现在我们先了解下iptables的基本语法:
iptables内置了filter、nat和mangle三张表,我们可以使用-t参数来设置对哪张表生效,也可以省略-t参数,则默认对filter表进行操作。
4、Iptables进程服务命令。
Serviceiptablessave保存iptables设置,对iptables规则编辑后一定要保存。
Serviceiptablesrestart保存设置以后不重启则设置不生效,要设置生效请重新启动。
Serviceiptablesstatus检查iptables设置。
5、Iptables–L列出某个链或者表中的规则,现在我们使用iptables–L查看我们虚拟机默认的防火墙规则。
6、Iptables–F删除某个或整个表中的规则。
现在我们使用iptables–F删除所有的规则。
7、设置filter表中3个链的默认策略为拒绝。
如图所示:
8、现在我们查看所有规则的列表。
使用iptables–L,查看规则是否添加成功。
9、添加一个用户自定义的链custom。
10、向filter表的INPUT链的最后添加一条规则,对来自192.168.1.1这台主机的数据包丢弃。
图如所示:
11、向filter表中的INPUT链中添加一条规则,拒绝外界主机访问本机tcp协议的100至1024端口。
。
12、向filter表的INPUT链中添加一条规则,拒绝来自其他主机的ping请求。
如图所示。
13、这样简单的iptables实验就结束了。
升级会员 