五 linux下的防火墙配置.doc

【实验6】 使用iptables实现防火墙 实验目的： 掌握iptables命令的语法。 掌握Linux下防火墙的配置。 【实验环境】 虚拟机软件VM Ware 6.0，Redhat Enterprise Linux虚拟机或光盘镜像文件。 3台以上机器组成的局域网。 实验：Eth1： 6，用于连接外网（internet）。 三台服务器的IP地址分别为： WWW服务器：1 FTP服务器：2 电子邮件服务器：3 这个实验中以虚拟机模拟Linux防火墙 实验步骤 配置内网和外网接口的网络参数 内网接口eth0： 子网掩码： 外网接口eth0：6 子网掩码： 建立脚本文件，使防火墙在Linux启动时自动运行。 在/etc/rc.d目录下建立一个名为“filter-firewall”的文件； 打开/etc/rc.d目录下的rc.local文件，在最后一行添加： /etc/rc.d/filter-firewall 保存，退出。 刷新所有规则链： [root@localhost ~]# iptalbes –F 禁止转发任何包。 [root@localhost ~]# iptalbes –P FORWARD DROP 设置防火墙的包过滤规则： WWW服务器：IP地址为1，端口为80，使用的协议为TCP或者UDP，允许符合这些要求的数据包通过： iptables –A FORWARD –p tcp –d 1 –-dport www –i eth0 –j ACCEPT FTP服务器：IP地址为2，端口为20和21，使用的协议为TCP，允许符合这些要求的数据包通过： iptables –A FORWARD –p tcp –d 2 –-dport ftp –i eth0 –j ACCEPT 邮件服务器：IP地址为3，端口为25和110，使用的协议为TCP，允许符合这些要求的数据包通过： iptables –A FORWARD –p tcp –d 3 –-dport smtp –i eth0 –j ACCEPT iptables –A FORWARD –p tcp –d 3 –-dport pop3 –i eth0 –j ACCEPT 4、思考题： (1) 防火墙的主要作用是什么？ （1）防火墙是保全决策的重点 防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、唯一的检查点，在网路安全防护上，防火墙提供非常大的杠杆效益，因为它把安全措施集中在这个检查点上。 （2）防火墙可以执行保全政策 防火墙强制执行站台的保全政策，只让『核准的』服务通过，而这些服务设定在Policy中。 （3）防火墙能有效率的记录Internet的活动 由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的最佳地点。 （4）防火墙可以减少网路暴露的危机 防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响到内部主机的安全。 （2）防火墙能防范内网用户的攻击吗，为什么？ 答：不能防范。因为防火墙的位置在内网与外网之间，它有以下四点： 1：不能防范内部人员的攻击； 2、不能防范绕过他的连接（内部机器被控制） 3、不能防备全部的威胁（如dos攻击） 4、不能防范恶意程序。 (3) 如何配置实现内网机器访问外网（NAT的实现） 内网客户机可以访问外网，也就是外网的WinXP客户机 外网的客户机可以访问内网服务器（WEB服务器和远程桌面） NAT服务器的创建： 首先，先打开“路由和远程访问”管理工具，依次点开始-所有程序-管理工具-路由和远程访问服务。如下图 鼠标右键计算机名（MCSE），然后点配置并启用路由和远程访问，然后点下一步。如下图 选网络地址转换（NAT），然后点下一步，如下图 在使用此公共接口连接到Internet中，选择与外网(Internet)相连的网卡。如果您是实验环境，那么下面的方框里就不要打勾。如果你是实际生产环境，那您就打上勾。然后点下一步，完成NAT服务器的创建。 接下来我们验证一下内网客户机是否可以访问公网了，现在我们选一台内网的客户机(WEB)做一下测试：如下图 通过上图我们可以看到，内网的机器的IP是/24，公网的机器IP是/24，他们可以PING通，是因为我们刚才做了NAT，内网客户机是通过NAT来实现访问外网的。 接着上面的配置完成之后，我们在继续配置之前再看看内网的环境。我们已经知道内网中有2台服务器，一个是WEB服务器，还有一个是远程桌面服务器，现在我们要实现的第二个目的就是把这两台服务器发布到公网上去，让公网的客户机可以访问我内网的服务器。 选择与连接外网的Public网卡，鼠标右键，选属性。如下图 上面是默认配置，就是我们刚才创建完NAT服务器后的