- •Лабораторная работа «Межсетевой экран netfilter/iptables»
- •1 Описание
- •1.1 Порядок прохождения таблиц и цепочек
- •1.1.1 Таблица Mangle
- •1.1.2 Таблица Nat
- •1.1.3 Таблица Filter
- •1.2 Построение правил
- •1.2.1 Основы
- •1.2.2 Таблицы
- •1.2.3 Команды
- •1.3 Критерии
- •1.3.1 Общие критерии
- •1.3.2 Неявные критерии
- •1.3.3 Явные критерии
- •1.4 Действия и переходы
- •1.4.1 Понятие переходов
- •1.4.2 Действие accept
- •1.4.3 Действие drop
- •1.4.4 Действие queue
- •1.4.5 Действие return
- •1.4.6 Действие log
- •1.4.7 Действие mark
- •1.4.8 Действие reject
- •1.4.9 Действие tos
- •1.4.10 Действие mirror
- •1.4.11 Действие snat
- •1.4.12 Действие dnat
- •1.4.13 Действие masquerade
- •1.4.14 Действие redirect
- •1.4.15 Действие ttl
- •1.4.16 Действие ulog
- •2 Рабочее задание
- •2.1 Фильтрация по критерию «отправитель»
- •2.2 Фильтрация по критерию «протокол»
- •2.3 Фильтрация по критерию «порт назначения»
- •2.4 Фильтрация по критерию «входной интерфейс»
- •2.5 Маскировка машины путем блокирования icmp-пакетов
- •2.6 Журналирование пакетов
- •3 Форма отчета по лабораторной работе
- •1. Фильтрация по критерию «отправитель»
- •2. Фильтрация по критерию «протокол»
2 Рабочее задание
2.1 Фильтрация по критерию «отправитель»
Цель задания: изучение особенностей фильтрации входного трафика и построение правил по критерию «отправитель»
В общем виде правило для фильтрации трафика по критерию «отправитель» будет создано следующим образом:
iptables -t filter -I INPUT -s source_addr_or_name -j {DROP/REJECT} [--reject-with reject_type]
Здесь в квадратные скобки заключен необязательный параметр.
Задание: Составить правила для фильтрации входящего трафика с лабораторных машин с целями DROP и REJECT. При использовании цели REJECT проверить влияние параметра --reject-with на результаты сканирования. В отчете указать различия при фильтрации трафика целями DROP и REJECT.
Указание: При проверке защищенности машины использовать утилиы ping и nmap
2.2 Фильтрация по критерию «протокол»
Цель задания: изучение особенностей фильтрации входного трафика и построение правил по критерию “протокол”
В общем виде правило для фильтрации трафика по критерию «протокол» будет создано следующим образом:
iptables -t filter -I INPUT -p {tcp/udp/icmp/all} -j {DROP/REJECT} [--reject-with reject_type]
Здесь в квадратные скобки заключен необязательный параметр.
Задание: Составить правила для фильтрации входящего трафика с лабораторных машин с целями DROP и REJECT по протоколам tcp,udp и icmp. При использовании цели REJECT проверить влияние параметра --reject-with на результаты сканирования. В отчете указать различия при фильтрации трафика целями DROP и REJECT.
Указание: При проверке защищенности машины использовать утилиту nmap.
2.3 Фильтрация по критерию «порт назначения»
Цель задания: изучение особенностей фильтрации входного трафика и построение правил по критерию “порт назначения”
В общем виде правило для фильтрации трафика по критерию «порт назначения» будет создано следующим образом:
iptables -t filter -I INPUT -p {tcp/udp/icmp/all} --dport port -j {DROP/REJECT} [--reject-with reject_type]
Здесь в квадратные скобки заключен необязательный параметр.
Задание: Составить правила для фильтрации входящего трафика с лабораторных машин с целями DROP и REJECT по протоколам tcp,udp и icmp. При использовании цели REJECT проверить влияние параметра --reject-with на результаты сканирования. В отчете указать различия при фильтрации трафика целями DROP и REJECT.
Указание: При проверке защищенности машины использовать утилиту nmap.
2.4 Фильтрация по критерию «входной интерфейс»
Цель задания: изучение особенностей фильтрации входного трафика и построение правил по критерию «входной интерфейс»
В общем виде правило для фильтрации трафика по критерию «входной интерфейс» будет создано следующим образом:
iptables -t filter -I INPUT [-p {tcp/udp/icmp/all}] [--dport port] -j {DROP/REJECT} [--reject-with reject_type] -i interface_name
Здесь в квадратные скобки заключены необязательные параметры.
Задание: Составить правила для фильтрации входящего трафика с лабораторных машин с целями DROP и REJECT. При использовании цели REJECT проверить влияние параметра --reject-with на результаты сканирования. В отчете указать различия при фильтрации трафика целями DROP и REJECT.
Указание: При проверке защищенности машины использовать утилиту nmap.