国开网络安全技术实验五配置防火墙网络安全防火墙题目

转载

卫斯理 2024-04-30 18:48:38

文章标签 国开网络安全技术实验五配置防火墙防火墙 iptables 2021全国职业技能大赛解析 IP 文章分类 运维

2021全国职业技能大赛-网络安全赛题解析———防火墙篇

模块A防火墙的基本规则操作

什么是防火墙（iptables）：
有问题私信博主

模块A防火墙的基本规则操作

什么是防火墙（iptables）：

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器，则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规。

防火墙命令：iptables -h

国开网络安全技术实验五配置防火墙网络安全防火墙题目_防火墙

iptabels -F 清空防火墙规则记得改好配置要重启服务 service iptables restart

任务⑦：
1.Windows系统禁用445端口；

找到防火墙入站规则设置445然后禁止
（两条 udp 和tcp）

2.Windows系统禁用23端口；

找到防火墙入站规则设置445然后禁止

3.Linux系统禁用23端口；

iptables -A INPUT -p tcp --dport 23 -j DROP
Iptables -A INPUT -p udp --dport 23 -j DROP

4.Linux系统禁止别人ping通；

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

5.Linux系统为确保安全禁止所有人连接ssh除了192.168.1.1这个ip；

iptables -A INPUT -p tcp --dport ssh -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j DROP

6.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包；

iptables -A FORWARD -m mac --mac-source 29:0E:29:27:65:EF -j DROP

7.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

8.禁止本机ping任何机器；

iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP

9.禁止任何机器ping本机；

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

10.为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理）

iptables -A INPUT -m limit --limit 3/minute --limit-burst 6 -j ACCEPT

11.设置防火墙允许本机对外开放TCP端口21以及被动模式FTP端口1250-1280；

iptables -A INPUT -p -tcp -m multiport --dport 21,1250:1280 -j ACCEPT

13.设置防火墙允许本机转发除ICMP协议以外的所有数据包；

iptables -A FORWARD -p icmp -j DROP

14.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包；

iptables -A FORWARD -s 172.16.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 172.16.0.0/24 -p udp --sport 53 -j ACCEPT

15.拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包。

iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

16.在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给 192.168.1.0网络中的主机访问要求从ftp服务的数据下载请求次数每分钟不得超过 5 个；

iptables -A INPUT -s 192.16.0.0/16 -d 192.168.1.0 -p tcp --dport 21 -m time --timestart 8:30 --timestop 18:00 --weekdays 1,2,3,4,5 -m connlimit --connlimit-upto 5 -j ACCEPT

17.为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对3306号端口进行流量处理；

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 3306 -j Drop

18.为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机；

Iptables –A INPUT –p tcp –dport 22 –s 172.16.10.0/24 –j ACCEPT
Iptables –A INPUT –p tcp –dport 22 -j DROP

19.为防御IP碎片攻击，设置iptables防火墙策略限制IP碎片的数量，仅允许每秒处理1000个；

Iptables –A INPUT –p tcp –dport 21 –m limit –limit 1000/s --limit-burst 1000 –j ACCEPT

20.允许本机开放从TCP端口20-1024提供的应用服务；

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 20:1024 -j ACCEPT

21.限制本机的Web服务在周一不允许访问。

Iptables –A INPUT –p tcp –dport 80 –m time –weekdays 1 –j DROP

22.配置iptables防火墙过滤规则，以封堵目标网段（172.16.1.0/24），并在两小时后解除封锁；

iptables -I INPUT -s 172.16.1.0/24 -j DROP
iptables -I FORWARD -s 172.16.1.0/24 -j DROP
at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1

23.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包；