网络安全之防火墙实验.doc

附录C网络安全之防火墙实验 利用Linux自带的iptables配置防火墙 实验目的：熟悉iptables构建防火墙方法，掌握防火墙策略配置要点 实验环境：Linux8.0 环境假设：现在我们假设企业的内部网网段为~55.其中防火墙的主机的IP地址为：，假设目前防火墙是进行代理上网。#阻止任何外部世界直接与防火墙内部网段直接通讯#允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙防问外部HTTPS服务器#允许内部用户通过防火墙防问外部FTP服务器。 网段示意图为： 　　 实验步骤： 查看iptables基本信息： [root@NetShare linux-2.4]# rpm -qa|grep iptables iptables-1.2.6a-2 iptables的rpm包已经安装上了，不过还要看一下内核的支持情况，也决定了iptables所能发挥的功效 安装配置硬件： 先在linux机器中安装两块网卡，配置网卡IP地址。 环境:内网为网段，外网DDN为网段。外网网关为 配置的网关服务器内网IP为0, 外网IP为0，两个地址绑定在一 块网卡上，(双网卡当然更好了)。 改文件永久配置 （1）修改 /etc/sysconfig/network NETWORKING=yes HOSTNAME=server GATEWAY=删除 GATEWAYDEV=eth0:1 （2）在/etc/sysconfig/network-scripts目录下创建文件ifcfg-eth0:1 DEVICE=eth0:1 ONBOOT=yes 启动 BROADCAST= 删除 NETWORK= NETMASK= IPADDR= #本机在上级网络的ip （3）用/ect/rc.d/init.d/network restart 使IP配置生效 （4）检查配置： ifconfig 设置代理转发功能： （1）建立防火墙脚本文件 cd /etc/rc.d/ touch firewall.rules 规则编写： 利用iptables的写如下脚本firewall.rules： echo 1 /proc/sys/net/ipv4/ip_forward 打开ip转发 #!/bin/sh #refresh all firewall rules 加载必要的模块 modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F POSTROUTING -t nat iptables -P FORWARD ACCEPT iptables -P INPUT DROP 设置链默认的规则 iptables -P OUTPUT DROP 规则生效 ./firewall.rules 功能测试 ping 0 http:// 0/ ftp:// 0/ 将gw.sh改成可执行权限运行，其他机器以之为网关，即可上网！ 也可加在 /ect/rc.d/rc.local最后达到开机自动运行的目的。 这是利用iptables实现最简单的功能。 规则编写 利用iptables的写如下脚本gw.sh： echo 1 /proc/sys/net/ipv4/ip_forward #!/bin/sh #refresh all firewall rules modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F POSTROUTING -t nat iptables -t nat -F iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP 规则生效 cd init.d ./iptables restart cd .. ./firewall.rules 功能测试 ping 0 http:// 0/ ftp:// 0/ 设置访问控制规则： 阻止任何外部世界直接与防火墙内部网段直接通讯 允许内部用户通过防火墙访问外部HTTP服务器 允许内部用户通过防火墙防问外部HTTPS服务器 允许内部用户通过防火墙防问外部FTP服