实验iptables防火墙配置
实验的目的是熟悉防火墙的基本原理。 熟悉包过滤防火墙的测试。 实验内容
1 )学习Linux防火墙的基本体系结构
2 )学习IPtable的基本原理
3 )学习如何使用IPtable
实验环境
1 )虚拟机: Linux主机
2 )宿主机: Windows客户端
实验原理
防火墙按从上到下的顺序读取设置的策略规则,找到匹配项后立即结束匹配项,并执行匹配项中定义的行为(即释放或阻止)。 如果读取所有策略规则后没有匹配项,请运行默认策略。 一般来说,防火墙策略规则的设置有两种:“通”、“立即放行”、“堵塞”和“立即阻止”。 如果防火墙的默认策略为拒绝(阻止),则必须设置允许规则。 不这样做的话,谁也进不去。 如果防火墙的默认策略允许,则必须设置拒绝规则。 否则,任何人都会进来,失去防火墙的防范功能。
在iptables服务中,用于处理或过滤通信的策略条目称为规则。 多个规则可以组成一个规则链,规则链根据包的处理位置进行分类。 具体如下:
在进行路由之前处理分组;
处理流入的数据包(INPUT;
处理流出的数据包(OUTPUT;
处理被转发的包(FORWARD );
在进行路由后处理数据包。
因为一般从内部网到外部网的业务一般是可控和良性的,所以使用最多的是输入规则链,该规则链能增加黑客从外部网进入内部网的难度。
例如,在你居住的社区里,物业管理公司有两条规定。 禁止小商品狂野的头发进入社区。各种车辆在进入社区时必须登记。 很明显,这两项规定应该用于社区大门,而不是所有房屋的防盗门。 根据上述防火墙策略的匹配顺序,可能会出现各种情况。 例如,如果来访者是小商人狂野的头发,就会被房地产公司的保安直接拒绝,也就不用登记车辆了。 当访问者乘车进入社区大门时,“禁止小贩狂野的头发进入社区”的首要规则不一致。 因此,如果按顺序一致第二种策略,就需要登记车辆。 如果社区居民进入正门,则执行默认放行策略,因为这两个规定都不一致。
但是,光靠政策规则不能保证社区的安全。 安全性还需要知道采用什么行为来处理这些匹配的通信,例如“允许”、“拒绝”、“注册”和“忽略”。 这些动作是与iptables服务对应用语,分别表示ACCEPT "允许通信通过"、REJECT "拒绝通信通过"、LOG "记录日志信息"、DROP "拒绝通信通过“允许通信通过”和“记录日志信息”都很容易理解,但这里需要重点讨论的是REJECT和DROP之间的差异。 对于DROP,直接丢弃流量,不作出响应; 拒绝通信后,REJECT可以通过返回“消息已接收,但已丢弃”的消息,让通信的发送方清楚地看到数据已被拒绝的响应消息。
实验步骤和结果
1 )首先在虚拟机ubtun上打开FTP、HTTP服务,
apt-get install vsftpd
apt-get安装Apache 2
配置主机和虚拟机的网络连接,
此处使用的是NAT静态分配IP地址,虚拟机IP:192.168.213.110主机IP:192.168.213.111
现在,您可以在主机上成功使用ping。 FTP、HTTP服务。
2 )显示虚拟机的防火墙状态iptables -L
这里是使用shell连接到虚拟机的操作。 您可以看到,当前的防火墙对于任何请求都是允许的。 所以,也不需要清除防火墙。 为了限制FTP、ping的使用,添加了几个命令
iptables-a input-ptcp-- dport 21-j reject
iptables -A INPUT -p icmp -j REJECT
看看主机是否可以使用FTP、ping :
那么,这次的实验到此结束。
最后清除以前的限制,iptables -F