Linux防火墙示例用简单规则集保护网络

    防火墙的配置要求如下：

    1、 拒绝所有外面传入的、向外的和转发的包。

    2、 允许所有外传的TCP连接：我们这里允许的如web/telnet/ssh/ftp等外传。

    3、 允许外发的TCP连接的返回封包通过防火墙，需检查封包的状态。

    4、 允许向外发送UDP连接在端口53上指定域名服务器，但只允许伟入的DNS封包进入内部的域名服务器chivas。

    5、 创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则：来自专网的向因特网传递的封包需从内部接口eth0向外部接口eth1转发。返回的封包以相反方向发送回来。

    6、 在内核中启用IP转发功能。

    构建一个基本的防火墙

    [root@linux-tys root]# sysctl ?p -----设置IP转发

    [root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward -----确认IP转发，可以见到结果为1

    [root@lg root]# iptables ?F -----清除预设表filter中所有规则链的规则

    [root@lg root]# iptables ?X -----清除预设表filter中自定义规则链的规则

    [root@lg root]# iptables ?F ?t mangle -----清除表mangle中所有规则链的规则

    [root@lg root]# iptables ?t mangle -X -----清除表mangle中所有自定义规则链的规则

    [root@lg root]# iptables ?F ?t nat -----清除表nat中所有规则链的规则

    [root@lg root]# iptables ?t nat -X -----清除表nat中所有自定义规则链的规则

    [root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT

    [root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

    [root@linux-tys root]# iptables -P INPUT DROP

    [root@linux-tys root]# iptables -P OUTPUT DROP

    [root@linux-tys root]# iptables -P FORWARD DROP

    [root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ----此两行为在回送接口上允许内部网络流量

    [root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo

    [root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW

    -----此规则设置新建和已建的TCP连接的封包将会通过eth1向外转发，不指明源和目标地址代表任何地址

    [root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT --这条允许来自专网到达专网接口的所有流量，下面一条规则则是检查到达外部网络接口的每个封包，属于已有连接通过

    [root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

    以下配置规则使之从一个网络接口转发到另一个：第一条规则接收所有来自专网的封包，并被转发到外网卡eth1上；第二条规则到达外部网络接口eth1上的封包，如属于已有连接，则转发到内网。

    [root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-

    [root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

    最后建立NAT规则，POSTROUTING表封包送出时需要翻译，该规则设置为对流出外部网络接口eth1的封包起作用，并将源地址变为eth1的地址。

    [root@linux-tys root]# modprobe iptable_nat ----加载NAT模块

    [root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

    备份和恢复

    1、备份防火墙设置：[root@lg root]# iptables-save>iptablesrules.txt 本次设为iptablesdefault.txt

    2、删除防火墙设置：[root@lg root]# iptables ?F 删除所有的链。

    3、恢复防火墙设置：[root@lg root]# iptables-restore iptablesrules.txt

    使防火墙自动化

    [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中，并自启动

    [root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----保存后则可用这个命令来控制其状态

    使用自定义链整固防火墙

    基本规则并不检查除TCP连接状态以外的事项，可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性，更为复杂的规则集可指定哪一个TCP端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。

    修改后的防火墙配置如下：

    1、首先也是启用转发，清空所有规则，设默认为DROP，在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是SSH的访问要保留。

    2、创建一个PRIV链来处理来自专用网络的流量。这个链传递已有返回的封包，进入防火墙的SSH封包，以及目的地为因特网的FTP、SSH和HTTP封包，然后将INPUT链规则导向到这一个链上。

    [root@linux-tys root]# iptables -N PRIV

    [root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp ?s 192.168.1.0/24 ?d 192.168.1.254 --dport 22 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p udp ?d 0/0 --dport 53 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT

    [root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV

    [root@linux-tys root]# iptables -A OUTPUT ?o eth0 -j PRIV

    3、创建一个链来处理来自DMZ（如果使用的话）以及外部网络到达的流量。这个链丢弃来自专用网络和DMZ网源地址的所有封包，这是因为，第一，前者是欺骗地址，第二，根据策略，不允许来自DMZ的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。

    [root@linux-tys root]# iptables -N EXT

    [root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP

    [root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP

    [root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT

    [root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT

    [root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --配置INPUT链，使之将流量导向到EXT

    [root@linux-tys root]# iptables -A OUTPUT ?o eth1 -j EXT

    4、修改FORWARD链以创建网关功能。自内网接口来的新的或已有的连接被转发到外部接口上。

    [root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    [root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

    5、建立SNAT规则。对源地址起作用转换为192.168.32.254。此步后即可实现网关防火墙功能了。

    [root@linux-tys root]# modprobe iptable_nat

    [root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

    6、配置OUTPUT链。使之允许来自防火墙服务的封包传到专用网络及因特网上。

    [root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

    [root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    7、检查防火墙规则并添加一条规则然后保存规则

    [root@linux-tys root]# iptables -L ?v ---- -v将显示网络接口的附加信息

    [root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT

    [root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存

    [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中，并自启动。