ЛАБ6

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Безопасность Astra-Linux

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №6

      НАСТРОЙКА СЕТИ И МЕЖСЕТЕВОГО ЭКРАНА

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студент:

Травкина Е.А., ИКБ-14

(Ф.И.О., № группы) (подпись)

Федченко А.С., ИКБ-14

(Ф.И.О., № группы) (подпись)

Мельцин Л.М., ИКБ-14

(Ф.И.О., № группы) (подпись)

Преподаватель:

ст. преп. Гельфанд А.М.

(должность, Ф.И.О.) (подпись)

Цель лабораторной работы

1. Ознакомиться с основными сетевыми параметрами.

2. Научиться настраивать IP-адрес, маску подсети, основной шлюз, DNS-сервер, имя компьютера. Добавить настройки в автозагрузку.

3. Ознакомиться с межсетевым экраном «NetFilter».

4. Ознакомиться с цепочками: «filter», «nat», «mangle».

5. Научиться настраивать правила в цепочки

Используемое программное обеспечение

Для выполнения лабораторной работы используется установленный дистрибутив ОС Linux.

Ход выполнения:

1. Получили информацию об IP-конфигурации вашего компьютера (IP-адрес, маску подсети, основной шлюз, DNS-сервер) с помощью консольных утилит командой ifconfig.

2. Выбрали адрес сети таким образом, чтобы он позволял подключить 100 компьютеров (24 маска – 254 адреса).

3. Изменили имя сервера и клиента командой hostname.

4. Добавили шлюз по умолчанию. Шлюзом выступает сервер. Проверили соединение между компьютерами (см. рис. 1).

Рис. 1. Проверка соединения эхо-запросом

5. Настроили IP-конфигурацию для получения доступа к сети Internet. Добавили адрес DNS сервера (см. рис. 2, 3).

Рис. 2. Настройка Сервера

Рис. 3. Настройка Клиента

6. Проверили, какие подключения открыты на вашем компьютере командой netstat -a. Команда позволяет просмотреть сведения о состоянии всех сокетов.

7. Проверили доступ к сети Internet, используя утилиту ping.

Рис. 4. Проверка доступа к сети

8. Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «адресу отправителя», целями DROP и REJECT.

iptables -A INPUT -s Server -j DROP

iptables -A INPUT -s Server -j REJECT

9. Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «адресу отправителя», целями DROP и REJECT по протоколам TCP, UDP и ICMP.

iptables -A INPUT -s Server -p tcp -j DROP

iptables -A INPUT -s Server -p udp -j DROP

iptables -A INPUT -s Server -p icmp -j DROP

iptables -A INPUT -s Server -p tcp -j REJECT

iptables -A INPUT -s Server -p udp -j REJECT

iptables -A INPUT -s Server -p icmp -j REJECT

10. Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «порту назначения», целями DROP и REJECT по протоколам TCP, UDP и ICMP.

iptables -A INPUT -p tcp --dport 22 -j DROP

iptables -A INPUT -p udp --dport 22 -j DROP

iptables -A INPUT -p icmp --dport 22 -j DROP

iptables -A INPUT -p tcp --dport 22 -j REJECT

iptables -A INPUT -p udp --dport 22 -j REJECT

iptables -A INPUT -p icmp --dport 22 -j REJECT

11. Составили правила для фильтрации входящего трафика с компьютеров в локальной сети по критерию «входной интерфейс», целями DROP и REJECT.

iptables -t filter -A INPUT -j REJECT -i eth0

iptables -t filter -A INPUT -j REJECT -i eth0

12. Составили правила для фильтрации входящего ICMP-трафика с компьютеров в локальной сети по критерию «входной интерфейс», целями DROP и REJECT.

iptables -t filter -I INPUT -i eth0 -p icmp --icmp-type -j REJECT

iptables -t filter -I INPUT -i eth0 -p icmp --icmp-type -j DROP

13. Написали правила для журналирования:

    1. Всех icmp-пакетов.

    2. Пакетов, приходящих на 22 порт.

    3. Всех пакетов, приходящих на интерфейс eth0.

iptables -A INPUT -p icmp -j LOG --log-prefix “…”

iptables -A INPUT -p tcp/udp/icmp/all --dport 22 -j LOG --log-prefix “…”

iptables -A INPUT -i eth0 -j LOG --log-prefix “…”

Сведенья необходимые для выполнения работы

ifconfig – используется для конфигурирования сетевых интерфейсов ядра.

route – используется для ручной или статической настройки маршрутизации.

/etc/resolve.conf – файл с настройкой сервера имен.

hostname – используется для настройки имени машины.

netstat – используется для просмотра открытых подключений.

iptables – инструмент администрирования фильтра пакетов IPv4 и NAT.

СИНТАКСИС

-A, --append - Добавляет новое правило в конец заданной цепочки

-p, --protocol - Этот критерий используется для указания типа протокола. Примерами протоколов могут быть TCP, UDP и ICMP

-s, --src, --source - IP-адрес(а) источника пакета

--dport, --destination-port - Порт, на который адресован пакет

-i, --in-interface - Интерфейс, с которого был получен пакет

--log-prefix - Ключ задает текст (префикс), которым будут предваряться все сообщения iptables. Сообщения со специфичным префиксом затем легко можно найти, к примеру, с помощью grep. Префикс может содержать до 29 символов, включая и пробелы.

DROP – полностью удалить пакет.

REJECT – отклонить запрос и направить пользователю ответ с информацией об этом.

LOG – инициируется запись в лог-файл об обработанном пакете.

ТАБЛИЦЫ

Существует три независимых таблицы (какие именно таблицы присутствуют в данный момент — зависит от конфигурации ядра и наличия его модулей).

-t, –table таблица

Если в правило не включается спецификатор [-t table], то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно.

Вывод

В ходе выполнения лабораторной работы №6 было проведено ознакомление с основными сетевыми параметрами. Проведена работа по настройке IP-адресов, масок подсети, основного шлюза, DNS-сервера, имени компьютера.

Была освоена работа с межсетевым экраном iptables.

Санкт-Петербург

2023