- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Linux Firewall Exploration
实验报告
目录
TOC \o 1-3 \h \z \u 一、实验简介 1
1.1 实验背景 1
1.2 实验目的 1
1.3 实验内容 1
1.4 实验环境 1
二、实验原理 2
2.1 SSH 2
2.2 Netfilter 2
2.3 反向SSH隧道 2
三、实验过程 3
3.1 Task1:使用防火墙 3
3.1.1 Task1.1:阻止A对B的telnet连接 3
3.1.2 Task1.2:阻止B对A的telnet连接 4
3.1.3 Task1.3:阻止A访问外部网站 4
3.2 Task2:实现简单的防火墙 5
3.3 Task3:绕过出口过滤 7
3.3.1 Task3.a:通过防火墙Telnet连接到计算机B 8
3.3.2 Task3.b:使用SSH隧道连接到Bilibili 8
3.4 Task4:绕过入口过滤 11
四、实验结果与结论 12
五、参考文献 13
PAGE 2
一、实验简介
1.1 实验背景
本实验的学习目标是让学生通过使用防火墙软件并实现简化的数据包过滤防火墙来了解防火墙如何工作。防火墙有几种类型。在本实验中,我们专注于包过滤器。数据包过滤器检查数据包,并根据防火墙规则决定是丢弃还是转发数据包。数据包过滤器通常是无状态的; 它们仅基于该数据包中包含的信息过滤每个数据包,而无需注意数据包是否是现有流量的一部分。数据包过滤器通常结合使用数据包的源地址和目标地址,其协议以及端口号(对于TCP和UDP通信)。
1.2 实验目的
在本实验中,学生将使用这种类型的防火墙,并且通过实施某些关键功能,他们可以了解防火墙的工作原理。此外,学生还将学习如何使用SSH隧道绕过防火墙。
1.3 实验内容
本实验涵盖以下主题:
防火墙功能
网络过滤器
可加载的内核模块
使用SSH隧道绕过防火墙
一个单独的实验室介绍了如何使用VPN绕过防火墙。
1.4 实验环境
Ubuntu 16.04
seed1(A):38
seed2(B):39
seed3(C):37
二、实验原理
2.1 SSH
SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可运行SSH。netfilter主要采用连线跟踪(Connection Tracking)、包过滤(Packet Filtering)、地址转换、包处理(Packet Mangling)4种关键技术。
2.2 Netfilter
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。
netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
2.3 反向SSH隧道
反向SSH隧道允许我们使用已建立的连接来建立从本地计算机到远程计算机的新连接。因为SSH连接是从远程计算机到本地计算机的,所以将其用于另一个方向就是“反向”使用它。反向SSH隧道依赖于使用已建立连接的远程计算机来侦听来自本地计算机的新连接请求。远程计算机在本地计算机上的网络端口上侦听。 如果它检测到对该端口的SSH请求,则会通过已建立的连接将该连接请求中继回自身。 这提供了从本地计算机到远程计算机的新连接。内网的A通过SSH连接公网的B,并且两者建立一个通信隧道,通常防火墙只限制入站不限制出站,所以SSH可以穿透防火墙
三、实验过程
3.1 Task1:使用防火墙
3.1.1 Task1.1:阻止A对B的telnet连接
开始时,A可以对B进行telnet:
图 SEQ 图 \* ARABIC 1 阻止前A可以对B进行telnet连接
然后我们在B终端运行以下命令:
iptables -A INPUT -s 38 -j DROP
图 SEQ 图 \* ARABIC 2 添加iptables规则
再次进行A对B的telnet连接,发现无法连接:
图 SEQ 图 \* ARABIC 3 A无法对B进行telnet连接
3.1.2 Task1.2:
文档评论(0)