基于Linux系统的包过滤防火墙(7)
来源:asp之家 发布时间:2009-09-19 20:21:00
→ WWW服务器:IP地址为198.168.80.251
→ FTP服务器:IP地址为198.168.80.252
→ E-mail服务器:IP地址为198.168.80.253
3.1.2 防火墙的建立过程
本例主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具本过程如下:
#!/sbin/bash
#在屏幕上显示信息
echo "Starting iptables rules..."
#开启内核转发功能
echo "1">;/proc/sys/net/ipv4/ip_forward
#定义变量
IPT=/sbin/iptables
WWW-SERVER=198.168.80.251
FTP-SERVER=198.168.80.252
EMAIL-SERVER=198.168.80.253
IP_RANGE="198.168.80.0/24"
#刷新所有的链的规则
$IPT -F
#首先禁止转发任何包,然后再一步步设置允许通过的包
#所以首先设置防火墙FORWARD链的策略为DROP
$IPT -P FORWARD DROP
#下面设置关于服务器的包过滤规则
#由于服务器/客户机交互是双向的,所以不仅仅要设置数据包
#出去的规则,还要设置数据包返回的规则
#
#(1)WWW服务
#服务端口为80,采用tcp或udp协议
#规则为eth0=>;允许目的为内部网WWW服务器的包
$IPT -A FORWARD -p tcp -d $WWW-SERVER-dport www -i eth0-jACCEPT
#
#(2)FTP服务
#服务端口为21,数据端口20
#FTP的传输模式有主动和被动之分,FTP服务采用tcp协议
#规则为:eth0=>;仅允许目的为内部网ftp服务器的包
$IPT -A FORWARD -p tcp -d $FTP-SERVER -dport ftp -i eth0-jACCEPT
#
# (3)EMAIL服务
#包含两个协议,一个是smtp,另一个是pop3
#出于安全性考虑,通常只提供对内的pop3服务
#所以在这里我们只考虑对smtp的安全性问题
#smtp端口为25,采用tcp协议
#规则为etho=>;仅允许目的为E-mail服务器的smtp请求
$IPT -A FORWARD -p tcp -d $EMAIL-SERVER-dport smtp -i eth0-jACCEPT
#
# 2.下面设置针对Internet客户的过滤规则
#本例中防火墙位于网关的位置,所以主要是防止来自Internet的攻击
#不能防止来自Intranet的攻击
#假如网络中的服务器都是基于Linux的,也可以在每一部服务器上设置
#相关的过滤规则来防止来自Internet的攻击
#对于Internet对Intranet客户的返回包,定义如下规则
#
#(1)允许Intranet客户采用被动模式访问Internet的FTP服务器
$IPT -A FORWARD -p tcp -s 0/0 --sport ftp-data -d $IP_RANGE-ieth0 -j ACCEPT
#
#(2)接收来自Internet的非连接请求tcp包
$IPT -A FORWARD -p tcp -d 198.168.80.0/24 ! --syn -i eth0-jACCEPT
#
#(3)接收所有udp包,主要是针对oicq等使用udp的服务
$IPT -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT
#
#3.然后接受来自整个Intranet的数据包过滤,我们定义如下规则
$IPT -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT
#
#处理ip碎片
#接受所有的ip碎片,但采用limit匹配扩展对其单位时间可以通过的
#ip碎片数量进行限制,以防止ip碎片攻击
$IPT -A FORWARD -f -m limit-limit 100/s-limit-burst 100-jACCEPT
#说明:对不管来自哪里的ip碎片都进行限制,允许每秒通过100个ip碎片
#该限制触发的条件是100个ip碎片
#
#设置icmp包过滤
#ipmp包通常用于网络测试等,故允许所有的icmp包通过
#但是黑客常常采用icmp进行攻击,如ping of death等
#所以我们采用limit匹配扩展加以限制
$IPT -A FORWARD -p icmp -m limit-limit 1/s-limit-burst 10-jACCEPT
#说明:对不管来自哪里的icmp包都进行限制,允许每秒通过一个包
#该限制触发的条件是10个包
猜你喜欢
- 美国主机商Justhost近两年发展非常迅速,曾经被Mghost誉为“美国主机黑马”。Justhost成立于2008年,相对于Hostmon
- 新站一个月PR值从0到5是怎样练成的?网站上线刚过一个月,便遇上谷歌大更新:pr 值竟然从0直接升到5 。想想这次谷歌也太大方了吧,太出乎我
- 10月21日消息,全球最大下载引擎迅雷,从2009年9月底至10月底隆重开展“迅雷2010高校人才发现计划&rd
- 什么是软文?我想大家都已经通过查阅网络资料有所了解,自己也经常在网络中看到一些软文作品。而我则用简单几句来概括:能让看出是软文的文章充其量算
- 国庆期间,华谊公司集结旗下众多一线明星拍摄的献礼影片《风声》,自首映以来票房一路高升,好评如潮。为了延续影片的精彩,我突发奇想,用&
- 在本文中,作者主要介绍了黑客用于攻击网络的一些工具。通过了解这些黑客工具的使用方法,读者可以更好地保护自己网络的安全。为了帮助你更好地防范时
- 欧盟批评甲骨文在其对甲骨文收购Sun微系统公司展开的调查中缺乏合作。欧盟竞争专员尼莉·克洛斯在布鲁塞尔会见甲骨文总裁SafraCatz时说,
- 核心提示:在搜索引擎优化上面,为使得效果更加明显,问题简单快速解决,大家对站点的静态化趋之若骛。然而对于一些大型网站,静态化带来的问题和后续
- 一、简介:在大多发行版都有打包,请到各大发行版的ftp列表中得到,或者在发行版的安装盘中也能得到。lftp是一个命令行式的ftp客户端。对中
- 1、自己点击站上广告,此行为被誉为“无效点击”。Google政策原文:“我们不容许您因任何原因点击自己网站上的广告,因为这样可能会让广告客户
- 即日起,Robin主持点石你问我答,如果你有关SEO方面的问题需要咨询,不妨让我知道。你问我答每周举行一次,Robin会挑选3个具有典型性的
- 09年的离去,带走了些许忧伤,些许痛楚,或许你还沉浸在那过去的一切一切中,但是,面对2010年的到来,我们应该准备些什么了。今年是不平常的一
- Godaddy主机管理域名看起来是项很庞大的工作,要做很多的工作,其实也没那么难,下面这个手册将帮助你简化域名管理,并一步步帮助Godadd
- 在CB上看到的Google 疯狂面试题,很多都是开放性的,没有标准的答案,题目后面附录了站长从网上搜索到的一些解题思路,仅供网友们参考。原文
- 假如你在你的托管帐户上存储了archive files,你可能需要unarchive,要么再次使用某个文档,要么只是解压某个你已上传的文件。
- 以下是一些来自专业机构研究结果的窍门,希望可以为改进你的网站设计提供些意见:1.对比图像,文字更具吸引力与你所认为的相反,在浏览一个网站的时
- 为了实现Linux环境下的FTP服务器配置,绝大多数的Linux发行套装中都选用的是Washington University FTP(Wu
- 常用组件主要包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite等,本文就仅说这5种,其他类型组件可以根据需
- 随着中国网游市场的强劲增势,国产网游似乎在全球市场也是风光无限。网龙的《征服》正式进入中东等地,第一次在阿拉伯地区出现了中国网游的身影;蓝港
- 10月16日消息 最近一份市场调查报告表明,2009年第三季度全球互联网搜索广告市场的表现基本令人满意,不过分析师仍然表示,对即将来到的第四