ЛАБ6
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Безопасность Astra-Linux
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №6
НАСТРОЙКА СЕТИ И МЕЖСЕТЕВОГО ЭКРАНА
(тема отчета)
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Студент:
Травкина Е.А., ИКБ-14
(Ф.И.О., № группы) (подпись)
Федченко А.С., ИКБ-14
(Ф.И.О., № группы) (подпись)
Мельцин Л.М., ИКБ-14
(Ф.И.О., № группы) (подпись)
Преподаватель:
ст. преп. Гельфанд А.М.
(должность, Ф.И.О.) (подпись)
Цель лабораторной работы
Ознакомиться с основными сетевыми параметрами.
Научиться настраивать IP-адрес, маску подсети, основной шлюз, DNS-сервер, имя компьютера. Добавить настройки в автозагрузку.
Ознакомиться с межсетевым экраном «NetFilter».
Ознакомиться с цепочками: «filter», «nat», «mangle».
Научиться настраивать правила в цепочки
Используемое программное обеспечение
Для выполнения лабораторной работы используется установленный дистрибутив ОС Linux.
Ход выполнения:
Получили информацию об IP-конфигурации вашего компьютера (IP-адрес, маску подсети, основной шлюз, DNS-сервер) с помощью консольных утилит командой ifconfig.
Выбрали адрес сети таким образом, чтобы он позволял подключить 100 компьютеров (24 маска – 254 адреса).
Изменили имя сервера и клиента командой hostname.
Добавили шлюз по умолчанию. Шлюзом выступает сервер. Проверили соединение между компьютерами (см. рис. 1).
Рис. 1. Проверка соединения эхо-запросом
Настроили IP-конфигурацию для получения доступа к сети Internet. Добавили адрес DNS сервера (см. рис. 2, 3).
Рис. 2. Настройка Сервера
Рис. 3. Настройка Клиента
Проверили, какие подключения открыты на вашем компьютере командой netstat -a. Команда позволяет просмотреть сведения о состоянии всех сокетов.
Проверили доступ к сети Internet, используя утилиту ping.
Рис. 4. Проверка доступа к сети
Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «адресу отправителя», целями DROP и REJECT.
iptables -A INPUT -s Server -j DROP
iptables -A INPUT -s Server -j REJECT
Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «адресу отправителя», целями DROP и REJECT по протоколам TCP, UDP и ICMP.
iptables -A INPUT -s Server -p tcp -j DROP
iptables -A INPUT -s Server -p udp -j DROP
iptables -A INPUT -s Server -p icmp -j DROP
iptables -A INPUT -s Server -p tcp -j REJECT
iptables -A INPUT -s Server -p udp -j REJECT
iptables -A INPUT -s Server -p icmp -j REJECT
Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «порту назначения», целями DROP и REJECT по протоколам TCP, UDP и ICMP.
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p udp --dport 22 -j DROP
iptables -A INPUT -p icmp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 22 -j REJECT
iptables -A INPUT -p udp --dport 22 -j REJECT
iptables -A INPUT -p icmp --dport 22 -j REJECT
Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «входной интерфейс», целями DROP и REJECT.
iptables -t filter -A INPUT -j REJECT -i eth0
iptables -t filter -A INPUT -j REJECT -i eth0
Составили правила для фильтрации входящего ICMP-трафика с компьютеров в локальной сети по критерию «входной интерфейс», целями DROP и REJECT.
iptables -t filter -I INPUT -i eth0 -p icmp --icmp-type -j REJECT
iptables -t filter -I INPUT -i eth0 -p icmp --icmp-type -j DROP
Написали правила для журналирования:
Всех icmp-пакетов.
Пакетов, приходящих на 22 порт.
Всех пакетов, приходящих на интерфейс eth0.
iptables -A INPUT -p icmp -j LOG --log-prefix “…”
iptables -A INPUT -p tcp/udp/icmp/all --dport 22 -j LOG --log-prefix “…”
iptables -A INPUT -i eth0 -j LOG --log-prefix “…”
Сведенья необходимые для выполнения работы
ifconfig – используется для конфигурирования сетевых интерфейсов ядра.
route – используется для ручной или статической настройки маршрутизации.
/etc/resolve.conf – файл с настройкой сервера имен.
hostname – используется для настройки имени машины.
netstat – используется для просмотра открытых подключений.
iptables – инструмент администрирования фильтра пакетов IPv4 и NAT.
СИНТАКСИС
-A, --append - Добавляет новое правило в конец заданной цепочки
-p, --protocol - Этот критерий используется для указания типа протокола. Примерами протоколов могут быть TCP, UDP и ICMP
-s, --src, --source - IP-адрес(а) источника пакета
--dport, --destination-port - Порт, на который адресован пакет
-i, --in-interface - Интерфейс, с которого был получен пакет
--log-prefix - Ключ задает текст (префикс), которым будут предваряться все сообщения iptables. Сообщения со специфичным префиксом затем легко можно найти, к примеру, с помощью grep. Префикс может содержать до 29 символов, включая и пробелы.
DROP – полностью удалить пакет.
REJECT – отклонить запрос и направить пользователю ответ с информацией об этом.
LOG – инициируется запись в лог-файл об обработанном пакете.
ТАБЛИЦЫ
Существует три независимых таблицы (какие именно таблицы присутствуют в данный момент — зависит от конфигурации ядра и наличия его модулей).
-t, –table таблица
Если в правило не включается спецификатор [-t table], то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно.
Вывод
В ходе выполнения лабораторной работы №6 было проведено ознакомление с основными сетевыми параметрами. Проведена работа по настройке IP-адресов, масок подсети, основного шлюза, DNS-сервера, имени компьютера.
Была освоена работа с межсетевым экраном iptables.
Санкт-Петербург
2023