RHCE 网 络 网 络 服 务 和 安 全 管 理 实 验
第三部分 网络资源访问控制
a. 管理和维护本地网络和路由表
a) 熟练使用ifconfig route ip ifup ifdown
b) 将主机名和网络的配置信息写入/etc/sysconfig/network文件中
b. IPv6,启用IPv6支持,查看本地IPv6地址
c. Netfilter Tables and Chains / iptables防火墙IPv4 / lokkit
a) 修改配置文件启用iptables内核转发功能
b) iptables防火墙表空间包括,filter nat mangle
i. filter表,可以处理类型为INPUT/OUTPUT/FORWARD的数据包
ii. nat表,可以处理类型为PREROUTING/POSTROUTING/FORWARD的数据包
iii. mangle表,处理全部INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING
c) 按要求完成下面的iptables脚本编写,ServerIP=192.168.0.1 ClientIP=192.168.0.2
i. 注意:在/etc/hosts文件中定义这两台主机的hostname,避免名称匹配问题
ii. 拒绝192.168.0.2的telnet请求,查看当前iptables规则,用本机和客户端测试
iii. 清除源规则,拒绝除192.168.0.2外的telnet请求,再次用本机和客户端测试
iv. 将本地局域网192.168.0/24的数据包伪装成210.83.202.1访问互联网
v. 将来自互联网对本机tcp/80端口的请求重定向到内网192.168.0.100
vi. 分析下列iptables语句的意义
1. /sbin/depmod –a
2. /sbin/modprobe ip_tables
3. /sbin/insmod ipt_LOG
4. iptables –t filter –A INPUT –p tcp –m multiport --soure-port 22,23,80 –j ACCEPT
5. iptables –t filter –A FORWARD –p tcp –m multiport --soure-port 100: -j DROP
6. iptables –t filter –A FORWARD –p udp –m multiport --soure-port :20 -j DROP
7. iptables –t filter –I 2 INPUT –p tcp --source-port ! 21:23 –j DROP
8. iptables –t filer –A INPUT –m state --state RELATED,ESTABLISHED –j ACCEPT
9. iptables –t filer –A INPUT –m state --state NEW –j DROP
10. iptables –t nat –A PREROUTING –p tcp –dport 80 –j DNAT --to-destination 192.168.0.10
11. iptables –t nat –A POSTROUTING –p tcp –dport 80 –j SNAT --to-source 192.168.0.1
12. iptables –t filter –A INPUT –p tcp –j LOG --log-prefix “IPTABLES”
13. iptables –t nat –A PREROUTING –p tcp –dport 80 –j REDIRECT --to-ports 8080
14. iptables –t filter –L –n –v
15. cat /proc/net/ip_conntrack
16. iptables –D INPUT 2
17. iptables –F INPUT
18. iptables –P OUTPUT ACCEPT
19. iptables –N allowed
20. iptables –N icmp_packet_allow
21. iptables –t filter –A allowed –p tcp –j ACCEPT
22. iptables –t filter –A icmp_packet_allow –p icmp –j ACCEPT
第四部分 网络系统规划
a. DNS
a) 主DNS、辅助DNS、只缓存DNS
b) 主机名解析服务的方法和认证顺序的选择
i. /etc/hosts NIS DNS /etc/nsswitch.conf /etc/resolv.conf
ii. dig host nslookup named-checkconf named-checkzone
iii. 在192.168.0.1上配置主DNS服务器
1. [root@localhost ~]# host 192.168.0.1
2. [root@localhost ~]# dig mydomain.com
3. [root@localhost ~]# dig -x 192.168.0.1
4. [root@localhost ~]# dig -t mx mydomain.com
5. [root@localhost ~]# dig -t soa mydomain.com
6. [root@localhost ~]# dig -t axfr mydomain.com. @192.168.0.1
7. [root@localhost ~]# dig -rt ns mydomain.com
8. [root@localhost ~]# dig -r mydomain.com
9. [root@localhost ~]# dig +trace mydomain.com
iv. DNS配置文件分析/etc/named.conf
1. 定义访问控制列表
a) acl “trusted” { 192.168.0.0/24; 192.168.100.100 };
b) acl “cracker” { 192.168.100.0/24; };
2. 监听接口,listen-on port 53 { 192.168.0.1; 127.0.0.1; };若无定义则所有接口
3. 内置访问列表,all none localhost localnets
4. 允许查询,allow-query { trusted; localhost; };如果无定义则允许所有查询
5. 允许传递,allow-transfer { trusted; };用于定义允许辅助DNS服务器请求
6. 允许递归,allow-recursion { 192.168.0.0/24; !cracker; };无定义则允许所有
7. 转发设置,forwarders { 210.83.202.1; };将DNS查询请求转发到其他主机
v. 允许通过rndc认证的远程主机控制named服务
1. include “/etc/remote.rndc.key”
2. controls { inet 192.168.0.1 allow { 192.168.0.2;} keys {remote.rndc.key; }; };
b. DHCP
a) 校验dhcp服务器配置文件的语法是否正确
b) 查看dhcp的地址分配和客户端租用情况
c) 了解udp/67 udp/68端口的作用
