网络安全-3-1 Linux 防火墙.docxVIP

Linux Firewall Exploration 实验报告 目录 TOC \o 1-3 \h \z \u 一、实验简介 1 1.1 实验背景 1 1.2 实验目的 1 1.3 实验内容 1 1.4 实验环境 1 二、实验原理 2 2.1 SSH 2 2.2 Netfilter 2 2.3 反向SSH隧道 2 三、实验过程 3 3.1 Task1：使用防火墙 3 3.1.1 Task1.1：阻止A对B的telnet连接 3 3.1.2 Task1.2：阻止B对A的telnet连接 4 3.1.3 Task1.3：阻止A访问外部网站 4 3.2 Task2：实现简单的防火墙 5 3.3 Task3：绕过出口过滤 7 3.3.1 Task3.a：通过防火墙Telnet连接到计算机B 8 3.3.2 Task3.b：使用SSH隧道连接到Bilibili 8 3.4 Task4：绕过入口过滤 11 四、实验结果与结论 12 五、参考文献 13 PAGE 2 一、实验简介 1.1 实验背景 本实验的学习目标是让学生通过使用防火墙软件并实现简化的数据包过滤防火墙来了解防火墙如何工作。防火墙有几种类型。在本实验中，我们专注于包过滤器。数据包过滤器检查数据包，并根据防火墙规则决定是丢弃还是转发数据包。数据包过滤器通常是无状态的; 它们仅基于该数据包中包含的信息过滤每个数据包，而无需注意数据包是否是现有流量的一部分。数据包过滤器通常结合使用数据包的源地址和目标地址，其协议以及端口号（对于TCP和UDP通信）。 1.2 实验目的 在本实验中，学生将使用这种类型的防火墙，并且通过实施某些关键功能，他们可以了解防火墙的工作原理。此外，学生还将学习如何使用SSH隧道绕过防火墙。 1.3 实验内容 本实验涵盖以下主题： 防火墙功能 网络过滤器 可加载的内核模块 使用SSH隧道绕过防火墙 一个单独的实验室介绍了如何使用VPN绕过防火墙。 1.4 实验环境 Ubuntu 16.04 seed1（A）：38 seed2（B）：39 seed3（C）：37 二、实验原理 2.1 SSH SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。netfilter主要采用连线跟踪（Connection Tracking）、包过滤（Packet Filtering）、地址转换、包处理（Packet Mangling)4种关键技术。 2.2 Netfilter Netfilter是Linux 2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理。 2.3 反向SSH隧道 反向SSH隧道允许我们使用已建立的连接来建立从本地计算机到远程计算机的新连接。因为SSH连接是从远程计算机到本地计算机的，所以将其用于另一个方向就是“反向”使用它。反向SSH隧道依赖于使用已建立连接的远程计算机来侦听来自本地计算机的新连接请求。远程计算机在本地计算机上的网络端口上侦听。 如果它检测到对该端口的SSH请求，则会通过已建立的连接将该连接请求中继回自身。 这提供了从本地计算机到远程计算机的新连接。内网的A通过SSH连接公网的B，并且两者建立一个通信隧道，通常防火墙只限制入站不限制出站，所以SSH可以穿透防火墙 三、实验过程 3.1 Task1：使用防火墙 3.1.1 Task1.1：阻止A对B的telnet连接 开始时，A可以对B进行telnet： 图 SEQ 图 \* ARABIC 1 阻止前A可以对B进行telnet连接 然后我们在B终端运行以下命令： iptables -A INPUT -s 38 -j DROP 图 SEQ 图 \* ARABIC 2 添加iptables规则 再次进行A对B的telnet连接，发现无法连接： 图 SEQ 图 \* ARABIC 3 A无法对B进行telnet连接 3.1.2 Task1.2：