防火墙配置实验_防火墙实验csdn

一、实验目的

1. 通过实验深入理解防火墙的功能和工作原理
2. 熟悉Linux下iptables防火墙的配置和使用

二、实验环境

实验环境

网络拓扑：

设备：三台Cent OS虚拟机

三、实验内容

1. 包过滤防火墙规则配置实验

对来自某个源、到某个目的地或具有特定协议类型的数据包进行转发、丢弃等具体操作，实现对数据包的过滤并保存过滤规则。

Ping简介：

我们以最常见的ping命令来做这个实验:Ping命令简介：PING (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol）即因特网信报控制协议；回声请求消息给目的地并报告是否收到所希望的ICMP echo （ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令。

Ping原理：

利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通以及时延。

实验目标：

内部网络（IP：192.168.110.0/24）可以PING外部设备（192.168.100.0/24），但是外部设备不能PING内部设备。

实验原理：

防火墙的规则都是双向的，而且ping使用的是ICMP报文，他的ICMP type 为8，而它的响应ICMP报文的type为0，我们要实现以上功能，只需要让ICMP type 8 报文进不来，但出得去；让ICMP type0 报文出不去，但进得来就可以了。

实验步骤：

1. 打开Terminal（终端）
2. 查看本机IP信息：
3. 三台设备互相ping，测试连通性。控制台按ctrl+c停止ping程序。
4. 在防火墙设备中，查看iptables规则表
5. 在防火墙设备中，清空iptables规则表
6. 在防火墙设备中，设置默认规则，将ICMP出入报文设置为拒绝
7. 尝试三台设备互相ping，测试连通性
8. 在防火墙设备中，实现任务要求的规则配置，放行外部网络对内部网络的ICPM响应报文（Type 0），以及放行内部网络对外部网络的ICMP请求报文（Type 8）
9. 检验防火墙功能，内外网设备互ping测试连通性
10. 保存iptables规则

思考题：

若在实验步骤6中，设置默认规则，将ICMP出入报文设置为Accept放行，如何实现该功能？请设计实验，完成实验并记录。

1. 防火墙NAT路由转换配置实验

NAT（Network Address Translation）网络地址转换，其功能是将内部自行定义的私有IP地址转换为公网上可识别的外部IP地址。

实验原理：

源地址转换（SNAT），改写数据包的源地址, 目的地址保持不变。目的地址转化（DNAT），对数据包的目的地址进行修改，其源地址保持不变。

实验目标：

1. 内网设备（192.168.110.1/24，192.168.110.110/24）使用同一个外部IP（192.168.100.1/24）和外部设备（192.168.100.110/24）通信；
2. 将服务器的源IP隐藏，改成公开的外部IP（192.168.100.1/24）。
3. 端口映射（SSH服务的22端口），对数据包进行转发到指定的内部地址（192.168.110.110）；
4. 隐藏后端服务的真实地址，内部设备访问（SSH）外部地址（192.168.100.110），由NAT服务进行转发。

实验步骤：

1. 在防火墙设备中，查看iptables规则表
2. 在防火墙设备中，清空iptables规则表
3. 在防火墙设备中，设置默认策略，允许所有的包通过。
4. 添加SNAT（源地址转换）规则
5. 添加DNAT（目的地址转换）规则，将外部网卡传入的想要访问内部设备SSH服务的请求包重新映射为内部地址及端口（192.168.110.110:22）
6. 验证防火墙功能，内部设备（192.168.110.110）使用SSH连接外部设备（192.168.100.110），外部设备使用SSH连接内网暴露的外部地址（192.168.100.1）能访问到内部设备。
7. 保存防火墙规则，重启iptables服务

四、实验要求

1. 一人一台设备，独立完成
2. 实验前需要预习实验内容，熟悉环境配置的方法与iptables的配置，了解ping和ssh的原理及其使用方法，了解实验内容及原理，并撰写预习报告
3. 完成配置实验环境的配置
4. 完成包过滤防火墙规则配置实验，要求记录实验过程并截图
5. 完成包过滤防火墙规则配置实验思考题，要求记录实验过程并截图（需要列出配置规则并注释）
6. 完成防火墙NAT路由转换配置实验，要求记录实验过程并截图

实验结束后撰写实验报告，并对实验结果进行分析总结

五、实验步骤

1. 包过滤防火墙规则配置实验

实验步骤：

1. 打开Terminal（终端）
2. 查看本机IP信息：

命令：ip addr

1. 在防火墙设备中，查看iptables规则表(如图1.11）

iptables -L

   

                                                   图1.11

1. 在防火墙设备中，清空iptables规则表（如图1.12）

iptables -F

                       

        

                                       图1.12

1. 在防火墙设备中，设置默认规则，将ICMP出入报文设置为拒绝（如图1.13）

iptables -I INPUT -p ICMP -j DROP：这条规则是用来配置防火墙，指示阻止所有进入的ICMP流量。ICMP协议通常用于网络诊断和错误报告，但有时也会被黑客利用进行攻击，因此阻止ICMP流量可以增加网络安全性。

iptables -I OUTPUT -p ICMP -j DROP：这条规则是用来配置防火墙，指示阻止所有离开系统的ICMP流量。同样地，这可以帮助防止系统被利用进行ICMP类型的攻击

iptables -P FORWARD ACCEPT：这条规则是用来配置防火墙的默认策略。它指示防火墙在转发流量时接受所有的数据包。这意味着如果防火墙没有明确的规则来处理转发的流量，它将允许这些数据包通过。

   

    

                                  图1.13

1. 尝试三台设备互相ping，测试连通性

1. 在防火墙设备中，实现任务要求的规则配置，放行外部网络对内部网络的ICPM响应报文（Type 0），以及放行内部网络对外部网络的ICMP请求报文（Type 8）

iptables -I INPUT -p ICMP –icmp-type 0 -d 192.168.110.0/24 ACCEPT：这条规则是用来配置防火墙，指示允许从目标地址为192.168.110.0/24的网络发送过来的ICMP回显应答（类型为0）的数据包进入系统。这通常用于允许特定网络的主机能够响应ping请求。

iptables -I OUTPUT -p ICMP –icmp-type 8 -s 192.168.100.0/24 ACCEPT：这条规则是用来配置防火墙，指示允许从源地址为192.168.100.0/24的网络发送出去的ICMP回显请求（类型为8）的数据包。这允许特定网络内的主机能够发送ping请求。

1. 检验防火墙功能，内外网设备互ping测试连通性

 内网ping外网  ，能够ping通（如图1.14）

    

                                 图1.14

内网ping外网，ping不同（如图1.15）

 

                                  图1.15

1. 保存iptables规则

service iptables save

service iptables restart

思考题：

若在实验步骤6中，设置默认规则，将ICMP出入报文设置为Accept放行，如何实现该功能？请设计实验，完成实验并记录。

1. 在防火墙设备中，查看iptables规则表(如图1.1）

iptables -L

1. 在防火墙设备中，清空iptables规则表

iptables -F

1. 在防火墙设备中，设置默认规则，

iptables -I INPUT -p ICMP -j ACCEPT ：这条规则是用来配置防火墙，指示允许所有进入系统的ICMP流量。这将允许系统接受来自其他主机的所有类型的ICMP消息，包括ping请求和其他ICMP消息。

iptables -I OUTPUT -p ICMP -j ACCEPT ：这条规则是用来配置防火墙，指示允许所有离开系统的ICMP流量。这将允许系统发送到其他主机的所有类型的ICMP消息

查看iptables规则表，发现修改成功（如图1.16）

        

                                  图1.16

发现都能ping通（如图1.17  1.18）

      

                                图1.17

     

                                  图1.18

1. 防火墙NAT路由转换配置实验

实验步骤：

1. 在防火墙设备中，查看iptables规则表（如图2.11）

iptables -L

        

                                图2.11

1. 在防火墙设备中，清空iptables规则表（如图2.12）

iptables -F

      

                                图2.13

1. 在防火墙设备中，设置默认策略，允许所有的包通过。指令如图2.14

iptables -P INPUT ACCEPT：将默认的输入流量策略设置为接受。这意味着如果没有明确的规则来处理进入系统的流量，防火墙将接受所有的数据包。

iptables -P OUTPUT ACCEPT：将默认的输出流量策略设置为接受。这意味着如果没有明确的规则来处理离开系统的流量，防火墙将接受所有的数据包。

iptables -P FORWARD ACCEPT：将默认的转发流量策略设置为接受。这意味着如果没有明确的规则来处理转发的流量，防火墙将接受所有的数据包。

                              图2.14

1. 添加SNAT（源地址转换）规则 （如图2.15）

外网IP地址不稳定的情况即可使用MASQUERADE(动态伪装),能够自动的寻找外网地址并改为当前正确的外网IP地址

iptables -t nat -A POSTROUTING -s 192.168.110.0/24 -j MASQUERADE

或直接指定出口网卡和源地址转换IP

iptables -t nat -A POSTROUTING –s 192.168.110.0/24 –o eth1 –j SNAT --to-source 192.168.100.1

    

                             图2.15

1. 添加DNAT（目的地址转换）规则，将外部网卡传入的想要访问内部设备SSH服务的请求包重新映射为内部地址及端口（192.168.110.110:22）（如图2.16）

iptables –t nat –A PREROUTING –i eth1 –d 192.168.100.1 –p tcp –dport 22 –j DNAT --to-destination 192.168.110.110:22

            

                                     图2.16

1. 验证防火墙功能，内部设备（192.168.110.110）使用SSH连接外部设备（192.168.100.110），外部设备使用SSH连接内网暴露的外部地址（192.168.100.1）能访问到内部设备。

内部设备访问外部设备：

ssh root@192.168.100.110

连接成功后查看ssh连接发起方IP：

who

外部设备访问内部设备：

ssh root@192.168.100.1

连接成功后查看SSH连接到的设备IP：

ip addr

1. 保存防火墙规则，重启iptables服务

service iptables save

service iptables restart

六、问题记录和实验总结

记录实验现象及数据结果，对实验结果进行分析，记录遇到的问题并提出解决方案。

实验问题:指导书上的指令不全。

                 指导书指令有误

通过这次实验，我们深入了解了防火墙的功能和工作原理，并熟悉了Linux下iptables防火墙的配置和使用。以下是一些关键的总结点：

防火墙的功能：防火墙是一种网络安全设备，用于监控和控制网络流量。它可以根据规则集过滤和阻止不安全的网络流量，以保护网络资源和系统免受攻击。

防火墙的工作原理：防火墙通过检查网络数据包的源地址、目标地址、端口号和协议等信息，根据预先定义的规则集来决定是否允许通过或阻止数据包。它可以在网络层、传输层和应用层进行过滤。

iptables防火墙：iptables是Linux系统中常用的防火墙工具，它基于Netfilter框架，可以对进出系统的数据包进行过滤和修改。它使用规则链和规则表的概念来组织和管理防火墙规则。

配置和使用iptables：可以使用iptables命令来配置和管理防火墙规则。常用的命令包括iptables -A、iptables -I、iptables -D等，用于添加、插入和删除规则。可以使用iptables -L命令来查看当前的规则列表。

防火墙规则：防火墙规则由匹配条件和动作组成。匹配条件可以包括源地址、目标地址、端口号、协议等，用于确定要过滤的数据包。动作可以是允许通过、阻止或修改数据包。

防火墙策略：在配置防火墙时，需要根据实际需求和安全策略来定义规则。可以根据不同的网络环境和应用场景，设置适当的规则来保护系统和网络资源。