《操作系统》实验指导书/实验六:系统防火墙管理 iptables防火墙可单独为某个网卡接口设定不同的策略规则,如不允许任何主机通过防 火墙本机的eth0网卡访问系统的80端口,其配置命令如下 #f iptables -A INPUT -i etho -p tcp --dport 80 j DROP ⑥MAC地址配置 ●拒绝某MAC地址主机的所有通信请求访问,其配置命令如下 #f iptables -A INPUT -m mac--mac-source XX: XX: XX: XX: XX: XX j DR ●拒绝网络中某一固定P地址且固定MAC地址的主机访问系统任意端口,其配置命 令如下 #f iptables-A INPUT -S XXX. XXX. XXX. xXX/x-m mac --mac-source XX: X XX× X XXXX: XX -J DROP ●允许网络中某一固定P地址且固定MAC地址的主机访问系统的22号端口,其配置 命令如下 #f iptables-A INPUT-p tcp --dport 22 -S XXX.XXX.XXX. xXX/x-m mac ac-source XXXX: XX: XX: XX XX J ACCEP 考核点6-3:根据上述场景规则,完成配置后将防火墙规则信息填写到实验报告册 (3)规则的测试 ①软件获取。获取端口扫描工具 Zenmap软件可通过本课程网站 (htp/ linux xg. hactcm. edu. cn)下载获得,也可通过 Zenmap官方网站 (htts/ nmap. org/ zenmap)下载获得,如图6-4所示。本实验所使用的 Zenmap软件为mmap 7.60-setupexe cH轴) UHHL S YOUR UPERSYSIBNmal Reports os Detection Props RenEws In the Movies oation of Nmap command lines. Scan results can be 图64 Zenmap官网 ②软件安装。点击下载的EXE执行安装文件,可根据安装过程提示进行默认选择安装 ③软件使用。打开工具,展示如图6-2所示工具界面。在“配置”下拉框中选择“ Regular an”(使用规则扫描),在“命令”输入框输入“nmap-p1-1024-T4-A-v172.16.24.127” 命令规则,点击【扫描】按钮,工具将自动扫描IP地址为“172.16.124.127”的主机,其1- 1024端口的状态情况 信息管理与信息系统教研室/阮晓龙/13938213680/第4页《操作系统》实验指导书 / 实验六：系统防火墙管理 信息管理与信息系统教研室 / 阮晓龙 / 13938213680 / 第4页 iptables 防火墙可单独为某个网卡接口设定不同的策略规则，如不允许任何主机通过防 火墙本机的 eth0 网卡访问系统的 80 端口，其配置命令如下。 # iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP ⑥MAC 地址配置 ●拒绝某 MAC 地址主机的所有通信请求访问，其配置命令如下。 # iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DR OP ●拒绝网络中某一固定 IP 地址且固定 MAC 地址的主机访问系统任意端口，其配置命 令如下。 # iptables -A INPUT -s xxx.xxx.xxx.xxx/x -m mac --mac-source XX:X X:XX:XX:XX:XX -j DROP ●允许网络中某一固定 IP 地址且固定 MAC 地址的主机访问系统的 22 号端口，其配置 命令如下。 # iptables -A INPUT -p tcp --dport 22 -s xxx.xxx.xxx.xxx/x -m mac - -mac-source XX:XX:XX:XX:XX:XX -j ACCEPT ⚫ 考核点 6-3：根据上述场景规则，完成配置后将防火墙规则信息填写到实验报告册。 （3）规则的测试 ① 软 件 获 取 。 获 取 端 口 扫 描 工 具 Zenmap 软 件 可 通 过 本 课 程 网 站 （ http://linux.xg.hactcm.edu.cn ） 下 载 获 得 ， 也 可 通 过 Zenmap 官 方 网 站 （https://nmap.org/zenmap）下载获得，如图 6-4 所示。本实验所使用的 Zenmap 软件为 nmap- 7.60-setup.exe。 ②软件安装。点击下载的 EXE 执行安装文件，可根据安装过程提示进行默认选择安装。 ③软件使用。打开工具，展示如图 6-2 所示工具界面。在“配置”下拉框中选择“Regular scan”（使用规则扫描），在“命令”输入框输入“nmap –p 1-1024 -T4 –A -v 172.16.124.127” 命令规则，点击【扫描】按钮，工具将自动扫描 IP 地址为“172.16.124.127”的主机，其 1- 1024 端口的状态情况。 图 6-4 Zenmap 官网