我是大帅哥,擅长LINUX和C语言,还有脚本,希望和大家交朋友 mail:newhitler@163.com

《Linux防火墙及NAT》练习题

上一篇 / 下一篇  2007-12-09 09:20:44 / 个人分类:LINUX系统

查看( 176 ) / 评论( 0 ) / 评分( 0 / 0 )

(x9Fs!y X8X"l@){tca01)定制策略
z Dl(c/c?(X"PN$Ns.A N01.1)设定INPUT为ACCEPTLUPA开源社区(t5c(t5tKC_4F^2e b"X
1.2)设定OUTPUT为ACCEPTLUPA开源社区-bM{ Nhubt
1.3)设定FORWARD为ACCEPT

&U8Xw]H*I0

WsnQ)A:b(c|0参考答案:LUPA开源社区/}5JU\h/n4k
iptables -P INPUT ACCEPT
#Q*~ ^%Ez5al]0iptables -P OUTPUT ACCEPT
E @A5PE6NV }0iptables -P FORWARD ACCEPT

DQ5\V2T-ix[0

'Q@RQy0 LUPA开源社区$w Y`Z,I s9Y7do

*a M8\ C:I [0
m,b:g,DS oH:O02)定制源地址访问策略
Nd8W!b8D&KjMv!?02.1)接收来自192.168.0.3的IP访问
cY}Yc2R ]w g3T02.2)拒绝来自192.168.0.0/24网段的访问LUPA开源社区 J0u'EK2Pn7@eX

Uf'q#H!q.s`:W0参考答案:
a~&?3Y a,Y3u0iptables -A INPUT -i eth0 -s 192.168.0.3 -j ACCPET
m(n2dHAs6m3h0iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP

ufo s[4x0

??{"kY"k.ac0 LUPA开源社区 [(D#F0FLwpTF

2r&Jo}%eT*H^C0
6F f'V}s#hD&XH03)目标地址192.168.0.3的访问给予记录,并查看/var/log/message

N r Q"Lq7H0LUPA开源社区 g.R-t0t W!G6d

参考答案:
(a3L lS9St8R3d,vYcoe0iptables -A INPUT -s 192.168.0.3 -j LOGLUPA开源社区#z+@{+S:t;^8^

LUPA开源社区 I O(btlk/y

 

5dni0Of.B1o7O)p0

R}1H#zH0
:deOf9S-wGE'w04)定制端口访问策略LUPA开源社区,R8V3ACx0pR `K Sw
4.1)拒绝任何地址访问本机的111端口
F#e*Qpl }/exL04.2)拒绝192.168.0.0/24网段的1024-65534的源端口访问SSHLUPA开源社区#oL&c"i#K"E

LUPA开源社区K/JGM'v,l kUN

参考答案:LUPA开源社区9B[gC[LW S J
iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP
c#L9|9QR%g _ \W0iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --sport 1024:65534 --dport ssh -j DROPLUPA开源社区bb[/y8}3bV

'a-[}l Jw0 

q`4j*S3DR}dU0LUPA开源社区9|C)c~)h2h Y-X

5)定制CLIENT端的防火墙访问状态
#Q4@!_[?05.1)清除所有已经存在的规则;
![@,SU8C9}a7C05.2)设定预设策略,除了INPUT设为DROP,其他为ACCEPT;LUPA开源社区l A^8|t4jfG4v
5.3)开放本机的lo可以自由访问;LUPA开源社区nY?} @:G:M
5.4)设定有相关的封包状态可以进入本机;LUPA开源社区MLUq zH)O

1~$y.xD N v`4Lf0参考答案:
\O2k2IE&Jvc0iptables -FLUPA开源社区-P ~J%vY
iptables -XLUPA开源社区$|5R[9F9A
iptables -Z
"@&^C-jCN"m0iptables -P   INPUT DROP
y)LcP}9XY0iptables -P  OUTPUT ACCEPTLUPA开源社区9l0xE5T#kQ
iptables -P FORWARD ACCEPT
U4nV \pA*bj0iptables -A INPUT -i lo -j ACCEPTLUPA开源社区#d5]A9l!R$o&UG
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
;sD3QNWKp6zO0iptables -A INPUT -m state --state INVALID -j DROP

5};C9^E F!`z]3x8q @c7i!U0LUPA开源社区QY;{6S3{~i\L

 

B$Z u"ba%az0LUPA开源社区lM,B&ac{$q

LUPA开源社区Ry|g.k'jv
6)定制防火墙的MAC地址访问策略
+o8k&y7P.B06.1)清除所以已经存的规则;LUPA开源社区M |:A:I`
6.2)将INPUT设为DROPLUPA开源社区e&Ya.A(\ x
6.3)将目标计算机的MAC设为ACCEPTLUPA开源社区4UB.XhC+z,X

LUPA开源社区,BzqOy hRe5Q/W

参考答案:LUPA开源社区y&}0E6}z4s
iptables -FLUPA开源社区1I r f%TI
iptables -X
5gt&Yz6N0W0iptables -ZLUPA开源社区(?!R7O*\ I"K Y#K5g
iptables -P   INPUT DROPLUPA开源社区i#j'Z,n2f-}Tgpt
iptables -A INPUT -m mac --mac-source 00-C0-9F-79-E1-8A -j ACCEPT

Vb BR7jEH7~ k0LUPA开源社区*J)~B.DOSu7JPG

 LUPA开源社区"P9N*n tV ?,_

Sy `F"wD0
$d3P\v&I07)设定ICMP包,拒绝除192.168.6.0网段的所有ICMP数据包进入服务器LUPA开源社区h TE9N,v3T5N

G S |3~`#L9|O0参考答案:
!F/\-Em8z0iptables -A INPUT -s ! 192.168.6.0 -p icmp -j DROPLUPA开源社区xh+Z`S@0pP

;|y5V9^.T*o0 LUPA开源社区 qhnq,?-hF3` a5O ~

LUPA开源社区)E1}"v p*g\.m4S ]


QO9w9\1Dp08)定制防火墙的NAT访问策略LUPA开源社区 n7S]"b0myMvb*A
8.1)清除所有策略
$G0O6g:U^?7_Q!o08.2)重置ip_forward为1LUPA开源社区ll#d o R
8.3)通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去LUPA开源社区TA}'j0WdX|+T
8.4)通过iptables观察转发的数据包LUPA开源社区*L)@n+U a,d4E:q

BV C p#A1n3Z@z0参考答案:LUPA开源社区s1U/R2a2P]!G1I)r
iptables -FLUPA开源社区y @fl.d[4Y[ ]}
iptables -XLUPA开源社区"Wo5wV)\*n;C
iptables -Z
} iBX8X%C0g}0echo "1" > /proc/sys/net/ipv4/ip_forward
(s3v@c*O)p[i4K6W0iptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADE
r8M ^:U[zl+Z:|(B$u0iptables -L -nv

U,O:|&JreCh,^4a#c0

^fE ^j0 

m)H&UB5w'T}M0

@o$jSxu9P"r-@0
6L PH*R*tS09)定制防火墙的NAT访问策略LUPA开源社区vhQ)eN#P|pW
9.1)清除所有NAT策略LUPA开源社区'N8S He Z:LJ\
9.2)重置ip_forward为1
0`#Z7T$F ~N o*A09.3)通过SNAT设定来源于192.168.6.0网段通过eth1转发出去LUPA开源社区'[2i3DK6u5Jq
9.4)用iptables观察转发的数据包

t+^Dn@0LUPA开源社区d T5vz;_*`{ C

参考答案:LUPA开源社区Szr{HtK
iptables -F -t nat
|UT!s*j'N0iptables -X -t nat
:|\'ks8CeK6jR4l0iptables -Z -t nat
8UR.H { C.?.V,pd1@0echo "1" > /proc/sys/net/ipv4/ip_forward
I"Xs xU1GJ0iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.6.217
(_\E.T/q6oG%JZ0iptables -L -nv

o{&cdx#zo i4f0LUPA开源社区._/`!} {Vv7m

 LUPA开源社区.d9xP$N0GY}@W k:y'B

Doj_2`b([X \pO,O0LUPA开源社区.R1y|*q1Yt*xh
10)端口转发访问策略LUPA开源社区XE lI\*V a
10.1)清除所有NAT策略
dn;A+WEJJd010.2)重置ip_forward为1LUPA开源社区Fw Q5G8CZ-x K c
10.3)通过DNAT设定为所有访问192.168.6.217的22端口,都访问到192.168.6.191的22端口LUPA开源社区%o yy-fx"RwS2_
10.4)设定所有到192.168.6.191的22端口的数据包都通过FORWARD转发LUPA开源社区1t B1JGn%a A mI
10.5)设定回应数据包,即通过NAT的POSTROUTING设定,使通讯正常

!Ghy0F)o8dI;I3j#]0

;pr"b/{B5}%PKO0参考答案:LUPA开源社区!z^cZ3I0VC ~SLp6W
iptables -F -t nat
A6w1Z!lH/z0iptables -X -t natLUPA开源社区 a2i5n)Z_g
iptables -Z -t natLUPA开源社区 E3A9\` vd Av8@
echo "1" > /proc/sys/net/ipv4/ip_forwardLUPA开源社区W#s O+N(@U
iptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp --dport 22 -j DNAT --to-destination 192.168.6.191:22
DK.h2N'y%vDY0iptables -A FORWARD -p tcp -d 192.168.6.191 --dport 22 -j ACCEPT
0t$l8{ ?^XT,Q0iptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE

0h'w2vc1yc.w-|7q;E7v0

导入论坛 收藏 分享给好友 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2008-08-22  
     12
3456789
10111213141516
17181920212223
24252627282930
31      

数据统计

  • 访问量: 18698
  • 日志数: 60
  • 建立时间: 2007-07-22
  • 更新时间: 2008-07-30

RSS订阅

Open Toolbar