【正文】 需3臺主機共同完成，其中一臺主機扮演實驗角色“內(nèi)網(wǎng)主機PC1”,一臺主機扮演實驗角色“外網(wǎng)主機PC2”,最后一臺主機扮演“NAT服務器”。／24；／24，也可根據(jù)實際情況指定內(nèi)網(wǎng)與外網(wǎng)地址。默認主機“本地連接”為內(nèi)部網(wǎng)絡接口；“外部連接“為外部網(wǎng)絡接口，也可指定“本地連接”為外部網(wǎng)絡接口。（2）按步驟(1)中規(guī)劃分別為本機的“本地連接”、“外部連接”配置IP地址。（3）配置NAT路由服務。依次單擊“開始”|“程序”|“管理工具”|“路由和遠程訪問”，在“路由和遠程訪問”MMC中，選擇要安裝NAT路由協(xié)議的服務器(這里為本地主機)，右鍵單擊在彈出菜單中選擇“配置并啟用路由和遠程訪問”?！缸ⅰ?操作期間若彈出“為主機名啟用了Windows防火墻/Internet連接共享服務……”警告信息，請先禁用“Windows防火墻/Internet連接共享”服務，后重試操作。具體做法：“開始”|“程序”| “管理工具”|“計算機管理”|“服務和應用程序”|“服務”，在右側服務列表中選擇“Windows Firewall/Internet Connection Sharing(ICS)”服務，先將其停止，然后在啟動類型中將其禁用。（4）在“路由和遠程訪問服務器安裝向?qū)А敝羞x擇“網(wǎng)絡地址轉換(NAT)”服務。（5）在“NAT Internet連接”界面中指定連接到Internet的網(wǎng)絡接口，該網(wǎng)絡接口對于Internet來說是可見的。若在步驟(1)中已將“外部連接”指定為公共接口，則此處應選擇“外部連接”。（6）本實驗中沒有應用到DHCP、DNS服務，所以在“名稱和地址轉換服務”界面中選擇“我將稍后設置名稱和地址服務”。至最后完成路由和遠程訪問配置。（7）接下來的工作是對各NAT服務器進行測試。下面以主機ABC為例進行測試說明：參照圖312，設定主機A為內(nèi)網(wǎng)主機PC1，將其內(nèi)部網(wǎng)絡接口(默認為“本地連接”)的默認網(wǎng)關指向主機B的內(nèi)部網(wǎng)絡接口(默認為“本地連接”)；設定主機C為外網(wǎng)主機PC2。內(nèi)網(wǎng)主機A通過ping指令對外網(wǎng)主機C做連通性測試。（8）ICMP會話分析。在主機A做連通性測試的同時，主機B打開“協(xié)議分析器”并定義過濾器，操作如下：依次單擊菜單項“設置”|“過濾器”，在“協(xié)議過濾”選項卡“協(xié)議樹”中選中“ICMP”協(xié)議。依次單擊按鈕“新建捕獲窗口”|“開始捕獲數(shù)據(jù)包”，在彈出的“適配器選擇”界面中選擇“外部連接”，開始捕獲。觀察狀態(tài)欄“捕獲幀數(shù)”窗格，當捕獲到數(shù)據(jù)時單擊“停止捕獲數(shù)據(jù)包”按鈕，依次展開“會話分析樹”|“ICMP會話”，如圖313所示。圖313 在NAT服務器外部接口上監(jiān)聽到的ICMP會話（9）結合ICMP會話分析結果說出ICMP數(shù)據(jù)包的傳輸（路由）過程_________。216。 linux防火墻iptable的應用一．包過濾實驗操作概述：為了應用iptables的包過濾功能，首先我們將filter鏈表的所有鏈規(guī)則清空，并設置鏈表默認策略為DROP(禁止)。通過向INPUT規(guī)則鏈插入新規(guī)則，依次允許同組主機icmp回顯請求、Web請求，最后開放信任接口eth0。iptables操作期間需同組主機進行操作驗證。（1）清空filter鏈表所有規(guī)則鏈規(guī)則。iptables命令________。（2）確定同組主機已清空filter鏈表后，利用nmap（/opt/portscan/目錄下）對同組主機進行端口掃描。nmap端口掃描命令________?！刚f明」 nmap具體使用方法可查看實驗6｜練習1｜TCP端口掃描。查看端口掃描結果，并填寫下表。（3）查看INPUT、FORWARD和OUTPUT鏈默認策略。iptables命令_________。216。 216。（4）將INPUT、FORWARD和OUTPUT鏈默認策略均設置為DROP。iptables命令_________。確定同組主機已將默認策略設置為DROP后，本機再次利用nmap其進行端口掃描，查看掃描結果，并利用ping命令進行連通性測試。（5）利用功能擴展命令選項(ICMP)設置防火墻僅允許ICMP回顯請求及回顯應答。ICMP回顯請求類型__________；代碼__________。ICMP回顯應答類型__________；代碼__________。iptables命令__________ 利用ping指令測試本機與同組主機的連通性。（6）對外開放Web服務(默認端口80/tcp)。iptables命令__________ 利用nmap對同組主機進行端口掃描，查看掃描結果。（7）設置防火墻允許來自eth0(假設eth0為內(nèi)部網(wǎng)絡接口)的任何數(shù)據(jù)通過。iptables命令_______ 利用nmap對同組主機進行端口掃描，查看掃描結果。二．事件審計實驗操作概述：利用iptables的日志功能檢測、記錄網(wǎng)絡端口掃描事件，日志路徑 /var/log/。（1）根據(jù)實驗原理(TCP擴展)設計iptables包過濾規(guī)則，并應用日志生成工具ULOG對iptables捕獲的網(wǎng)絡事件進行響應。iptables命令__________（2）同組主機應用端口掃描工具對當前主機進行端口掃描，并觀察掃描結果。（3）在同組主機端口掃描完成后，當前主機查看iptables日志，對端口掃描事件進行審計，日志內(nèi)容如圖321所示。圖321 iptables日志內(nèi)容三．狀態(tài)檢測實驗操作概述：分別對新建和已建的網(wǎng)絡會話進行狀態(tài)檢測。1．對新建的網(wǎng)絡會話進行狀態(tài)檢測（1）清空filter規(guī)則鏈全部內(nèi)容。iptables命令__________（2）設置全部鏈表默認規(guī)則為允許。iptables命令__________（3）設置規(guī)則禁止任何新建連接通過。iptables命令__________（4）同組主機對當前主機防火墻規(guī)則進行測試，驗證規(guī)則正確性。2．對已建的網(wǎng)絡會話進行狀態(tài)檢測（1）清空filter規(guī)則鏈全部內(nèi)容，并設置默認規(guī)則為允許。（2）同組主機首先telnet遠程登錄當前主機，當出現(xiàn)“l(fā)ogin:”界面時，暫停登錄操作。telnet登錄命令_________（3）iptables添加新規(guī)則(狀態(tài)檢測)——僅禁止新建網(wǎng)絡會話請求。iptables命令___________ 或___________________ 同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令“guestpass”，登錄是否成功__________。同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現(xiàn)象______________________。（4）刪除步驟（3）中添加的規(guī)則，并插入新規(guī)則(狀態(tài)檢測)——僅禁止已建網(wǎng)絡會話請求。iptables命令______________________________ 或________________________________________ iptables命令______________________________ 或________________________________________ 重新操作實驗步驟(1)(2)(4)。同組主機續(xù)(1)步驟繼續(xù)執(zhí)行遠程登錄操作，嘗試輸入登錄用戶名“guest”及口令 “guestpass”，登錄是否成功__________。同組主機啟動Web瀏覽器訪問當前主機Web服務，訪問是否成功__________。解釋上述現(xiàn)象_______________。（5）當前主機再次清空filter鏈表規(guī)則，并設置默認策略為DROP,添加規(guī)則開放FTP服務，并允許遠程用戶上傳文件至FTP服務器。iptables命令______________________________________ 四．NAT轉換實驗實驗概述：圖322描述了NAT轉換實驗所應用的網(wǎng)絡拓撲結構。內(nèi)網(wǎng)主機與NAT服務器eth0接口位于同一網(wǎng)段(內(nèi)網(wǎng))；外網(wǎng)主機與NAT服務器eth1接口位于同一網(wǎng)絡(外網(wǎng))；NAT服務器提供NAT轉換。通過設置nat服務器的iptables NAT規(guī)則，實現(xiàn)內(nèi)、外網(wǎng)主機間的通信數(shù)據(jù)包的地址轉換，達到屏蔽內(nèi)部網(wǎng)絡拓撲結構與轉發(fā)外網(wǎng)主機請求端口的目的。圖322 實驗網(wǎng)絡拓撲結「說明」 本實驗是在Linux系統(tǒng)下完成，Linux系統(tǒng)默認安裝了2塊以太網(wǎng)卡，網(wǎng)絡接口分別為eth0和eth1，在設置NAT服務前請激活eth1網(wǎng)絡接口，命令ifconfig eth1 up。1．確定各接口IP地址本實驗由ABC、DEF主機各為一實驗小組。默認實驗角色：主機A為內(nèi)網(wǎng)主機、B為NAT服務器、C為外網(wǎng)主機。也可以自定義實驗角色。2配置完成內(nèi)網(wǎng)主機eth0接口IP地址及默認網(wǎng)關(指向NAT服務器內(nèi)網(wǎng)接口)，NAT服務器eth0和eth1接口IP地址，外網(wǎng)主機eth0接口IP地址，并完成下列問題的填寫：內(nèi)網(wǎng)主機IP____________________，其默認網(wǎng)關____________________； 外網(wǎng)主機IP____________________；NAT服務器內(nèi)網(wǎng)接口IP____________________、外網(wǎng)接口IP____________________。內(nèi)網(wǎng)主機對NAT服務器內(nèi)網(wǎng)接口進行連通性測試（ping）；外網(wǎng)主機對NAT服務器外網(wǎng)接口進行連通性測試（ping）。2．設置防火墻規(guī)則允許內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡操作流程：首先開啟NAT服務器的路由功能(開啟網(wǎng)絡接口間數(shù)據(jù)的轉發(fā))，清空filter鏈表全部規(guī)則，并設置其默認策略為DROP；繼續(xù)設置規(guī)則允許來自內(nèi)網(wǎng)的數(shù)據(jù)流進入外網(wǎng)，并允許任何返回流量回到內(nèi)網(wǎng)；最后規(guī)則實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)接口間的數(shù)據(jù)轉發(fā)。（1）NAT服務器開啟路由功能。基于安全的考慮，默認情況下Linux路由數(shù)據(jù)包的功能是關閉的，通過下述命令開啟系統(tǒng)路由功能：（2）設置filter表規(guī)則鏈，默認策略為禁止。iptables命令_______________________（3）添加filter表新規(guī)則，允許來自防火墻的流量進入Internet；允許任何相關的返回流量回到防火墻。iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT服務器內(nèi)部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1間的數(shù)據(jù)轉發(fā)。iptables命令_______________________（5）主機C啟動Snort（/opt/ids/snort）以網(wǎng)絡嗅探方式運行(設置過濾器僅監(jiān)聽icmp數(shù)據(jù)包)，主機A ping探測主機C，是否ping通______？將主機C的默認網(wǎng)關指向NAT服務器的外網(wǎng)接口，主機A再次ping探測主機C，是否ping通__________？結合snort捕獲數(shù)據(jù)，對比實驗現(xiàn)象，說明原因：___________________。3．設置防火墻規(guī)則通過NAT屏蔽內(nèi)部網(wǎng)絡拓撲結構操作流程：在實現(xiàn)步驟2的操作基礎上，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從內(nèi)網(wǎng)到外網(wǎng)的地址翻譯。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟2(⑵～⑶)。（3）添加nat表新規(guī)則，通過網(wǎng)絡地址翻譯實現(xiàn)內(nèi)部網(wǎng)絡地址轉換。iptables命令_______________________（4）添加filter表新規(guī)則，實現(xiàn)NAT內(nèi)部網(wǎng)絡接口eth0與外部網(wǎng)絡接口eth1之間的數(shù)據(jù)轉發(fā)。iptables命令_______________________（5）主機C重新將默認網(wǎng)關指為空，重新啟動Snort捕獲ICMP數(shù)據(jù)。主機A對主機C進行ping探測，是否ping通__________？主機C停止Snort監(jiān)聽，查看已捕獲到ICMP數(shù)據(jù)，其源IP地址是__________？解釋實驗象_____________________________________。4．設置防火墻規(guī)則通過NAT實現(xiàn)外網(wǎng)請求端口轉發(fā)操作流程：在實現(xiàn)步驟3的操作基礎，添加nat表新規(guī)則實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯(端口轉發(fā))。（1）NAT服務器重新啟動iptables服務。service iptables restart（2）重新操作步驟3(⑵～⑷)。（3）添加nat表新規(guī)則，實現(xiàn)數(shù)據(jù)從外網(wǎng)到內(nèi)網(wǎng)的地址翻譯（80/tcp端口轉發(fā)）。iptables命令__________________(4)完成NAT外部接口eth1到內(nèi)部接口eth0之間的數(shù)據(jù)轉發(fā) iptables命令__________________（5）確定主機C默認網(wǎng)關指為空，主機A和主機C啟動Snort捕獲80/tcp數(shù)據(jù)，主機C啟動Web瀏覽器，在地址欄中輸入：，觀察訪問結果，回答下列問題：主機C訪問是否成功__________？若成功，其訪問的是哪臺主機的Web主頁__________（主機A/主機B）？主機C停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。主機A停止Snort捕獲，觀察80/tcp會話的源、目的IP地址對__________________。解釋上述實驗現(xiàn)象______________________________________________________。五．應用代理實驗實驗概述：使用iptables+squid方式來實現(xiàn)傳統(tǒng)代理、透明代理和反向代理。實驗角色說明如下：內(nèi)網(wǎng)客戶端僅需啟用“本地連接”，其IP地址形式如下：，,其中X為所屬實驗組編號（132）,Y為主機編號（16）,。代理服務器需要啟動內(nèi)部網(wǎng)絡接口eth0和外部網(wǎng)絡接口eth1。內(nèi)部IP地址形式同內(nèi)網(wǎng)客戶端，外部IP地址形式如下：，其中X為所屬實驗組號（132）,Y為主機編號。外網(wǎng)Web服務器僅需啟用“本地連接”，其IP地址形式如下：，其中X為所屬實驗組號（132），Y為主機編號（16）。在進行實驗操作前，首先清空防火墻規(guī)則。1．傳統(tǒng)代理（1）外網(wǎng)Web服務器手動分配IP地址，并確認本地Web服務已啟動。（2）代理服務器激活網(wǎng)絡接口eth1，并手動分配I