期中上機考解答版,不包含 Web Server
1101LSA_學號
,並依照以下條件設定存取權限 (2%)1101LSA_學號
開啟並設定 Forward Agent 功能,使私鑰在 firewall 上進行轉送,不需要透過帳號密碼才能連進 internal zone 和 DMZ
yes
no
yes
yes
MOLi 大學的阿明近期想針對學校資安部分做加強
想要先幫學生們過濾封包抵擋攻擊
並保護防火牆,只留需要的功能其餘皆不准進來
便委託小美幫忙架設,
阿明針對防火牆要夠酷提了幾點要求:
題目沒講的不能做到
EX: internal zone 不能 ping DMZ 的設備
只要不符合以上要求,就是個不夠酷的防火牆
各位小美們,請幫忙小明實作個防火牆
檢驗方式(可能不只用以下方式檢驗)
通用:看 iptables 的規則
1 會也只會透過 firewall 向外網發出封包(ex: ping 8.8.8.8)
2 在學校開起瀏覽器,打上 firewall 的 ip 可成功顯示網頁
4 從學校網路任意電腦可 ssh 至 firewall
5 看相關設定
6 tcpdump
en5 外網
en6 internal
en7 dmz
不提供解答,請自行實作
由於 web server 需架在 DMZ 上,DMZ 需要完成 iptables 的第四條指令才能連進 web server
如果不知道如何設定 iptables 第三、四題的指令,可以跟助教索取答案,但總分會扣 8 分
以下 service 需架在 DMZ 中的 web server 上
使用 nginx 設定以下 domain name 使他們連到對應的網頁
s<學號>-lb.1101.lsa
:80
: load balances<學號>-proxy.1101.lsa
:80
: proxy 到 lsa.kija.io
s<學號>-apache.1101.lsa
:8091
: 老師的各項資訊s<學號>-lighttpd.1101.lsa
:8092
: 助教們的中文姓名:8092/~<username>
: 課程資訊apache (8091)
配分標準 (7%)
lighttpd (8092)
/~<username>
,顯示課程資訊
<username>
是s<你的學號>
配分標準 (7%)
nginx (80)
apache
老師的各項資訊lighttpd
助教們的中文姓名lsa.kija.io
配分標準 (7%)
做不出來夠酷的防火牆,至少做個有點酷的火車吧
train
,登入此使用者之後會直接自動執行印出火車的指令,執行結束後,就直接登出