网络安全与管理 实验报告
实验名称:iptables防火墙实验环境的搭建 学院:计算机学院
专业班级:计算机科学与技术四班 学号:14142400808 姓名:罗前 指导教师:刘衍斌
完成日期: 2017年 5月 7日
一.实验目的:
完成iptables防火墙环境的搭建,为后面学习iptables规则做准备 实验使用环境:
VMware,RedHatlinux,四台客户机(window操作系统)
二.实验原理:
1.Iptables工作机理:
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规 则匹配时。iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
三.实验内容:
安装好虚拟机,配置安装好的RadHatLinux,修改网卡模式为NAT模式, 按照下图拓扑图配置,iptables假设在Linux路由器上对整个网络进行安全防护,
Linux作为的防火墙系统,处于和局域网之间,由于防火墙架设在路由器上面,因此可以对进入局域网的所有数据包进行过滤处理,同时也可以对局域网内主机进行访问。
1.实验拓扑图如下:
192.168.1.0/24 Fire1 Fire2
2. 客户机IP配置
主机
IP地址
功用
Fire2 192.168.2.2,192.168.1.112 控制整个网段的数据报文的流入流出及过滤 DNS FTP Web
192.168.2.3 192.168.2.5 192.168.2.4
提供DNS服务 提供FTP服务 提供web服务
除了fire主机其他主机都关闭iptables Win xp的IP地址配置:
主机均设置静态的IP地址即可。
3.虚拟网络及Linux主机的配置
(1) 虚拟网络配置:
(2)在iptables主机中打开数据包转发功能:
修改/ect/sysct1.conf找到net,ipv4.ip_forward把0改成1。然后重启主机
当iptables主机设置转发后(iptables服务启动,没有手动做规则),拓扑图的两个网段能够ping通。
(3)Linux网卡的配置:
使用vi编辑器,修改各个网卡中的IP和网关,设置ip地址获取方式为静态 命令:vi /etc/sysconfig/network-scripts/ifcfg-eth0(网卡编号)
配置完后用命令service network restart 重启网络服务即可读取出修改后的配置 下图为Linux2主机eth0的配置:
Iptables主机的网卡信息:
(4)查看iptables的信息:
环境配置完成。
四、实验测试
分别用xp客户机和web主机相互ping对方的ip,观察是否ping通
可以看到两台主机都是能够ping通,说明实验环境搭建成功。
五、实验总结
通过本次实验我我理解了iptables的原理和应用,尽管只是简单的完成了它的实现环境的搭建,但是通过这次实践,更加加深了对iptables的理解,并锻炼了自己的动手能力,为后面的具体实验做了准备。
