基於Linux系統的包過濾防火牆(3)(轉)
第3章、包過濾防火牆配置舉例
3.1 建立包過濾防火牆
3.1.1網路結構
本節為一個的網路結構建立一個包過濾防火牆。
這個網路結構假設內部網有有效的Internet地址。為了將內部網段198.168.80.0/24與Internet隔離,在內部網路和 Internet之間使用了包過濾防火牆。防火牆的網介面是eth1(198.168.80.254),防火牆的Internet介面是eth0 (198.199.37.254)。加外,內網中有3臺伺服器對外提供服務。分別為:
→ WWW伺服器:IP地址為198.168.80.251
→ FTP伺服器:IP地址為198.168.80.252
→ E-mail伺服器:IP地址為198.168.80.253
3.1.2 防火牆的建立過程
本例主要是對內部的各種伺服器提供保護。下面採用編輯並執行可執行指令碼的方法建立此防火牆。具本過程如下:
#!/sbin/bash
#在螢幕上顯示資訊
echo "Starting iptables rules..."
#開啟核心轉發功能
echo "1">;/proc/sys/net/ipv4/ip_forward
#定義變數
IPT=/sbin/iptables
WWW-SERVER=198.168.80.251
FTP-SERVER=198.168.80.252
EMAIL-SERVER=198.168.80.253
IP_RANGE="198.168.80.0/24"
#重新整理所有的鏈的規則
$IPT -F
#首先禁止轉發任何包,然後再一步步設定允許透過的包
#所以首先設定防火牆FORWARD鏈的策略為DROP
$IPT -P FORWARD DROP
#下面設定關於伺服器的包過濾規則
#由於伺服器/客戶機互動是雙向的,所以不僅僅要設定資料包
#出去的規則,還要設定資料包返回的規則
#
#(1)WWW服務
#服務埠為80,採用tcp或udp協議
#規則為eth0=>;允許目的為內部網WWW伺服器的包
$IPT -A FORWARD -p tcp -d $WWW-SERVER-dport www -i eth0 -j ACCEPT
#
#(2)FTP服務
#服務埠為21,資料埠20
#FTP的傳輸模式有主動和被動之分,FTP服務採用tcp協議
#規則為:eth0=>;僅允許目的為內部網ftp伺服器的包
$IPT -A FORWARD -p tcp -d $FTP-SERVER -dport ftp -i eth0 -j ACCEPT
#
# (3)EMAIL服務
#包含兩個協議,一個是smtp,另一個是pop3
#出於安全性考慮,通常只提供對內的pop3服務
#所以在這裡我們只考慮對smtp的安全性問題
#smtp埠為25,採用tcp協議
#規則為etho=>;僅允許目的為E-mail伺服器的smtp請求
$IPT -A FORWARD -p tcp -d $EMAIL-SERVER-dport smtp -i eth0 -j ACCEPT
#
# 2.下面設定針對Internet客戶的過濾規則
#本例中防火牆位於閘道器的位置,所以主要是防止來自Internet的攻擊
#不能防止來自Intranet的攻擊
#假如網路中的伺服器都是基於Linux的,也可以在每一部伺服器上設定
#相關的過濾規則來防止來自Internet的攻擊
#對於Internet對Intranet客戶的返回包,定義如下規則
#
#(1)允許Intranet客戶採用被動模式訪問Internet的FTP伺服器
$IPT -A FORWARD -p tcp -s 0/0 --sport ftp-data -d $IP_RANGE -i eth0 -j ACCEPT
#
#(2)接收來自Internet的非連線請求tcp包
$IPT -A FORWARD -p tcp -d 198.168.80.0/24 ! --syn -i eth0 -j ACCEPT
#
#(3)接收所有udp包,主要是針對oicq等使用udp的服務
$IPT -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT
#
#3.然後接受來自整個Intranet的資料包過濾,我們定義如下規則
$IPT -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT
#
#處理ip碎片
#接受所有的ip碎片,但採用limit匹配擴充套件對其單位時間可以透過的
#ip碎片數量進行限制,以防止ip碎片攻擊
$IPT -A FORWARD -f -m limit-limit 100/s-limit-burst 100 -j ACCEPT
#說明:對不管來自哪裡的ip碎片都進行限制,允許每秒透過100個ip碎片
#該限制觸發的條件是100個ip碎片
#
#設定icmp包過濾
#ipmp包通常用於網路測試等,故允許所有的icmp包透過
#但是駭客常常採用icmp進行攻擊,如ping of death等
#所以我們採用limit匹配擴充套件加以限制
$IPT -A FORWARD -p icmp -m limit-limit 1/s-limit-burst 10 -j ACCEPT
#說明:對不管來自哪裡的icmp包都進行限制,允許每秒透過一個包
#該限制觸發的條件是10個包
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955581/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 基於Linux系統的包過濾防火牆(1)(轉)Linux防火牆
- 基於Linux系統的包過濾防火牆(2)(轉)Linux防火牆
- 防火牆軟體Netfilter之包過濾技術(轉)防火牆Filter
- 配置基於ADSL的防火牆(轉)防火牆
- 5種方法逃過防火牆控制系統的研究(轉)防火牆
- 使用iptables建置Linux 防火牆(3)(轉)Linux防火牆
- 短視訊推出"防沉迷系統"內容過濾築起"防火牆防火牆
- Linux防火牆資料包捕獲模組(轉)Linux防火牆
- 基於iptables防火牆堵漏防火牆
- 用iptales實現包過慮型防火牆(一)(轉)防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- XP系統故障 都是“防火牆”惹的禍(轉)防火牆
- 防火牆的虛擬系統防火牆
- iptables配置-Linux系統安全防火牆Linux防火牆
- 盤點Linux系統中常用的防火牆工具!Linux防火牆
- 軟盤裡的Linux防火牆(轉)Linux防火牆
- Linux系統iptables與Firewalld防火牆區別?Linux防火牆
- ubuntu系統下的防火牆使用Ubuntu防火牆
- Linux基礎命令---iptables防火牆Linux防火牆
- linux系統檢視防火牆是否開啟並清除防火牆規則的方法步驟Linux防火牆
- WAb防火牆與傳統防火牆防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- Linux防火牆程式設計(轉)Linux防火牆程式設計
- 用FWTK配置Linux防火牆(轉)Linux防火牆
- 用iptales實現包 過慮型防火牆(zt)防火牆
- 如何在 Linux 系統中配置 firewalld 防火牆策略Linux防火牆
- 搭建基於netfilter/iptables的防火牆實驗環境(轉)Filter防火牆
- linux 防火牆Linux防火牆
- 構築Unix系統內防火牆體系的多種方案(轉)防火牆
- linux系統中個人防火牆iptables的詳細教程Linux防火牆
- linux下的防火牆Linux防火牆
- chapter3:協同過濾-隱式評級及基於物品的過濾APT
- 基於Linux的傳真系統(轉)Linux
- FreeBSD ipfw 防火牆基礎指南(轉)防火牆
- 使用IP鏈建立Linux防火牆(轉)Linux防火牆
- 使用iptables建置Linux 防火牆(2)(轉)Linux防火牆
- Linux系統下如何在防火牆開放指定埠Linux防火牆
- 關於各類防火牆的介紹(2)(轉)防火牆