Firewall & NAT - PDF 免费下载

Teacher Assistants: Chia-Peng Lee, Instructor: Prof. Phone Lin Date: 2017/03/01

實驗 ( 一 ) 上機實驗 (@ R204) 時間 : 2017/03/08 14:20~17:10 - 組別名單將公佈在課程網頁上實驗 ( 一 ) 展演及實驗結報繳交 (@ R204) 時間 : 2017/03/15 14:20~17:10 實驗結報繳交方式 : - 一律使用電子郵件繳交電子檔, - 郵件主旨請依照 [CNL 實驗 ( 一 ) 結報繳交 _ 組別 ] 下次上課 (@ R204) 時間 : 2015/7/22 14:20~17:10

本實驗是要將一台裝有兩張網路卡的個人電腦, 設定成一台有防火牆功能的 IP 分享器不過與市面上的防火牆不同的地方是, 除了要防止外面危險的封包進來之外, 也要防止未經授權的內部使用者送封包出去在 Linux 作業系統上建立自己的 Firewall 讓你的 Linux 成為 NAT 伺服器架設 DHCP 在你的 Linux 上

了解 NAT Firewall 和 DHCP 它們的運作原理之後, 實際在 Linux 上架設透過設定過濾 IP 封包的過程中, 在 OSI 架構中之網路層了解基礎的 TCP/IP 原理和上層各種不同應用程式的通訊協定 ( 如 : Skype FTP HTTP 等 )

R204 一台電腦 with installed Virtual Box R202 一台 hub 一台具兩張網路卡的個人電腦 ( 架設 NAT 和 Firewall, 電腦 A) 一台筆記型電腦或個人電腦 ( 電腦 B) 兩條網路線兩條電源線

Linux 安裝與設定 http://www.ubuntu.com/download/desktop/contribute/?version=1 4.04.2&architecture=amd64 http://wiki.ubuntutw.org/index.php?title=%e9%a6%96%e9%a0%81 TCP/IP 的基礎知識 Linux network programming Advanced Linux Programming, by Mark Mitchell, Jeffrey Oldham, and Alex Samuel, of Code Sourcery LLC

R204 Computer B (VM b ) Computer A (VM a ) Host R202 ( R202 Lab ) AP TCP IP L2 L1 IP L2 L1 L2 L1 AP TCP IP L2 L1

Network Configuration of Computer A Network Configuration of Computer B

作業系統 : Ubuntu 14.04.2 LTS ( 不限制 ) Kernel 版本 : 2.6.32( 不限制 ) 需要與安裝套件 : vim, dhcp3-server 作業系統不限制 Ubuntu!!

單一主機型 Netfilter ( 封包過濾機制 ) - 分析進入主機的封包, 擷取封包的 header 並判斷通過或阻擋 TCP Wrappers ( 程式控管 ) 區域型 - 判斷程式的名稱並決定是否通行, 與程式啟動的 port 無關 Netfilter Proxy ( 代理伺服器 ) - Proxy 代理使用者的需求, 使用者並非直接連上 Internet, 而是透過 Proxy 存取網路服務

防火牆的功能拒絕讓 Internet 的封包進入主機的特定 port 拒絕讓某些來源 IP 的封包流入拒絕讓帶有某些特殊旗標 (Flag) 的封包流入分析硬體位址 (MAC) 來決定連線與否防火牆的缺點不能有效的抵擋病毒或木馬程式防火牆防護來自內部 LAN 的攻擊較差

chains PREROUTING INPUT FORWARD OUTPUT POSTROUTING 更詳細的解釋可以在 linux 輸入 man iptables 查詢使用 iptables 指令時必須要有 root 的權限 Ubuntu 加上 sudo

tables Filter ( 過濾器 ) - 處理進入與出去本機端的封包 NAT ( 位址轉換 ) - 來源與目的之 IP 與 Port 的轉換 Mangle ( 破壞者 ) Raw - 處理特殊旗標 - 較少使用 - 設定例外的狀況

iptables [-t tables ] [-L] [-nv] Target Prot Opt Source Destination 進行的動作封包協定額外的選項來源 IP 目的 IP 不指定 Table 時預設為 filter table.

ifconfig

指令 iptables -F iptables -X iptables -Z ( 清空計數器 )

iptables [-t tables] -P [INPUT, OUPUT, FORWARD] [ACCEPT, DROP]

iptables [-AID 鏈 ] [-io 網路介面 ] [-p 協定 ] [-s 來源 IP/ 網域 ] [-d 目的 IP/ 網域 ] j [ACCEPT DROP REJECT LOG] -A 將 rule 放在 chain 的最後一個 -I number 指定 rule 放在 chain 的位置 -D 刪除 rule -I 與 INPUT 配合 -o 與 OUTPUT 配合

允許 Http 封包 iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -dport 80 -j ACCEPT 丟棄所有來自 INPUT 的封包 iptables -P INPUT DROP

NAT table 的 PREROUTING chain 修改目的 IP NAT table 的 POSTROUTING chain 修改來源 IP

將來自內部網路的封包傳送出去 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE 將來自外部網路的封包轉到內部網路的 Web 主機上 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:80 主機上有二張網卡, 讓主要機器成為路由器 echo "1" > /proc/sys/net/ipv4/ip_forward 若發生 /proc/sys/net/ipv4/ip_forward permission denied sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

安裝 DHCP sudo apt-get install dhcp3-server 設定發放 IP 的網路介面卡 sudo vim /etc/default/isc-dhcp-server INTERFACE = "eth1" 設定 DHCP Server sudo vim /etc/dhcp/dhcpd.conf 啟動 DHCP Server sudo /etc/init.d/isc-dhcp-server start

dhcpd.conf 基本設定

(5%) 電腦 B 能夠透過 DHCP 伺服器得到 private IP address. Private IP 發放參考下表 Address Range 192.168.0.0-192.168.255.255 mask 192.168.0.0/255.255.0.0 (11%) 利用 Shell scripts 撰寫你的 Firewall 和 NAT 規則並說明程式架構與邏輯 (10%) 電腦 B 要能用電腦 A 上的 NAT 獲得 private IP 並與外部網路連結 (ex., ping www.google.com)

(24% ;1 個應用程式 4%) 電腦 B 要能夠正常運作指定的程式除了基本的 DNS HTTP FTP Telnet 和 ICMP 之外, 各組還要依組別號碼除以 4 的餘數來選擇第六個應用程式其餘的封包一律檔掉展演時, 除了上述的應用程式可以正常使用之外, 還要用抓封包的軟體來證實你們設計的 firewall 是正確的餘數餘 0 餘 1 餘 2 餘 3 應用程式 Line SSH POP3/SMTP Skype

1. (30%) 將你們設計的 Firewall 與 NAT 裡面的 chains 畫成流程圖, 清楚說明裡面的規則, 並在旁邊附上解釋 2. (10%) 用抓封包的軟體 (wireshark) 抓一些封包來證明你們設計的 Firewall 與 NAT 是正確的請先整理好, 列出關鍵的封包 3. (10%) 請寫下本次實驗內容如何應用於實際情況, 請詳盡描述情境與假設條件 4. 結報請在展演時一起交上 5. 結報請填上貢獻度

http://www.netfilter.org/ Document -> HOWTOs http://linux.vbird.org/ 鳥哥的 Linux 私房菜 http://www.thegeekstuff.com/2011/01/iptablesfundamentals/

螢幕鍵盤滑鼠網路線請使用 204 電腦原本的線材, 實驗完畢後請記得歸位