热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

Linux防火墙示例用简单规则集保护网络

文章标题:Linux防火墙示例用简单规则集保护网络。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类

    防火墙的配置要求如下:

    1、 拒绝所有外面传入的、向外的和转发的包。

    2、 允许所有外传的TCP连接:我们这里允许的如web/telnet/ssh/ftp等外传。

    3、 允许外发的TCP连接的返回封包通过防火墙,需检查封包的状态。

    4、 允许向外发送UDP连接在端口53上指定域名服务器,但只允许伟入的DNS封包进入内部的域名服务器chivas。

    5、 创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则:来自专网的向因特网传递的封包需从内部接口eth0向外部接口eth1转发。返回的封包以相反方向发送回来。

    6、 在内核中启用IP转发功能。


    构建一个基本的防火墙

    [root@linux-tys root]# sysctl ?p -----设置IP转发

    [root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward -----确认IP转发,可以见到结果为1


    [root@lg root]# iptables ?F -----清除预设表filter中所有规则链的规则

    [root@lg root]# iptables ?X -----清除预设表filter中自定义规则链的规则

    [root@lg root]# iptables ?F ?t mangle -----清除表mangle中所有规则链的规则

    [root@lg root]# iptables ?t mangle -X -----清除表mangle中所有自定义规则链的规则

    [root@lg root]# iptables ?F ?t nat -----清除表nat中所有规则链的规则

    [root@lg root]# iptables ?t nat -X -----清除表nat中所有自定义规则链的规则


    [root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT

    [root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

    [root@linux-tys root]# iptables -P INPUT DROP

    [root@linux-tys root]# iptables -P OUTPUT DROP

    [root@linux-tys root]# iptables -P FORWARD DROP


    [root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ----此两行为在回送接口上允许内部网络流量

    [root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo


    [root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW

    -----此规则设置新建和已建的TCP连接的封包将会通过eth1向外转发,不指明源和目标地址代表任何地址


    [root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT --这条允许来自专网到达专网接口的所有流量,下面一条规则则是检查到达外部网络接口的每个封包,属于已有连接通过

    [root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


    以下配置规则使之从一个网络接口转发到另一个:第一条规则接收所有来自专网的封包,并被转发到外网卡eth1上;第二条规则到达外部网络接口eth1上的封包,如属于已有连接,则转发到内网。

    [root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-

    [root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


    最后建立NAT规则,POSTROUTING表封包送出时需要翻译,该规则设置为对流出外部网络接口eth1的封包起作用,并将源地址变为eth1的地址。

    [root@linux-tys root]# modprobe iptable_nat ----加载NAT模块

    [root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254


    备份和恢复

    1、备份防火墙设置:[root@lg root]# iptables-save>iptablesrules.txt 本次设为iptablesdefault.txt

    2、删除防火墙设置:[root@lg root]# iptables ?F 删除所有的链。

    3、恢复防火墙设置:[root@lg root]# iptables-restore iptablesrules.txt


    使防火墙自动化

    [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动

    [root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----保存后则可用这个命令来控制其状态


    使用自定义链整固防火墙

    基本规则并不检查除TCP连接状态以外的事项,可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性,更为复杂的规则集可指定哪一个TCP端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。


    修改后的防火墙配置如下:

    1、首先也是启用转发,清空所有规则,设默认为DROP,在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是SSH的访问要保留。


    2、创建一个PRIV链来处理来自专用网络的流量。这个链传递已有返回的封包,进入防火墙的SSH封包,以及目的地为因特网的FTP、SSH和HTTP封包,然后将INPUT链规则导向到这一个链上。

    [root@linux-tys root]# iptables -N PRIV

    [root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp ?s 192.168.1.0/24 ?d 192.168.1.254 --dport 22 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p udp ?d 0/0 --dport 53 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT

    [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT

    [root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV

    [root@linux-tys root]# iptables -A OUTPUT ?o eth0 -j PRIV


    3、创建一个链来处理来自DMZ(如果使用的话)以及外部网络到达的流量。这个链丢弃来自专用网络和DMZ网源地址的所有封包,这是因为,第一,前者是欺骗地址,第二,根据策略,不允许来自DMZ的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。

    [root@linux-tys root]# iptables -N EXT

    [root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP

    [root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP

    [root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT

    [root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT

    [root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --配置INPUT链,使之将流量导向到EXT

    [root@linux-tys root]# iptables -A OUTPUT ?o eth1 -j EXT


    4、修改FORWARD链以创建网关功能。自内网接口来的新的或已有的连接被转发到外部接口上。

    [root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    [root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


    5、建立SNAT规则。对源地址起作用转换为192.168.32.254。此步后即可实现网关防火墙功能了。

    [root@linux-tys root]# modprobe iptable_nat

    [root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254


    6、配置OUTPUT链。使之允许来自防火墙服务的封包传到专用网络及因特网上。

    [root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

    [root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


    7、检查防火墙规则并添加一条规则然后保存规则

    [root@linux-tys root]# iptables -L ?v ---- -v将显示网络接口的附加信息

    [root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT

    [root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存

    [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动。


推荐阅读
  • 本文将详细探讨 Linux 系统中的 netstat 命令,该命令用于查看网络状态和连接情况。通过了解 IP 地址和端口的基本概念,我们将更好地理解如何利用 netstat 命令来监控和管理网络服务。 ... [详细]
  • 本文介绍如何配置SecureCRT以正确显示Linux终端的颜色,并解决中文显示问题。通过简单的步骤设置,可以显著提升使用体验。 ... [详细]
  • NFS(Network File System)即网络文件系统,是一种分布式文件系统协议,主要用于Unix和类Unix系统之间的文件共享。本文详细介绍NFS的配置文件/etc/exports和相关服务配置,帮助读者理解如何在Linux环境中配置NFS客户端。 ... [详细]
  • 在Linux系统上构建Web服务器的详细步骤
    本文详细介绍了如何在Linux系统上搭建Web服务器的过程,包括安装Apache、PHP和MySQL等关键组件,以及遇到的一些常见问题及其解决方案。 ... [详细]
  • 全能终端工具推荐:高效、免费、易用
    介绍一款备受好评的全能型终端工具——MobaXterm,它不仅功能强大,而且完全免费,适合各类用户使用。 ... [详细]
  • 本文详细介绍了Linux操作系统中的cp和scp命令,包括它们的基本使用方法、常见选项以及如何通过scp命令安全地在不同主机之间传输文件。 ... [详细]
  • 转自:http:www.yybug.comread-htm-tid-15324.html为什么使用Twisted? 如果你并不准备使用Twisted,你可能有很多异议。为什么使用T ... [详细]
  • 本文介绍了如何在Ubuntu 16.04系统上配置Nginx服务器,以便能够通过网络访问存储在服务器上的图片资源。这解决了在网页开发中需要使用自定义在线图标的需求。 ... [详细]
  • 本文介绍了如何在Linode服务器上以root用户身份安装Xubuntu,并解决尝试启动图形界面时遇到的'无屏幕找到'错误。 ... [详细]
  • 本文介绍了在Linux系统(特别是Ubuntu)中遇到 'bash: tailf: command not found' 错误时的正确处理方法,推荐使用 `tail -f` 命令替代 `tailf`。 ... [详细]
  • 本文详细探讨了虚拟化的基本概念,包括服务器虚拟化、网络虚拟化及其在云计算环境中的应用。特别强调了SDN技术在网络虚拟化和云计算中的关键作用,以及网络虚拟化技术如何提升资源利用效率和管理灵活性。 ... [详细]
  • 本文详细记录了作者从7月份的提前批到9、10月份正式批的秋招经历,包括各公司的面试流程、技术问题及HR面的常见问题。通过这次秋招,作者深刻体会到了技术积累和面试准备的重要性。 ... [详细]
  • ipvsadm命令简介:ipvsadm是LVS在应用层的管理命令,我们可以通过这个命令去管理LVS的配置。在fedora14、Linux6.0之后系统中 ... [详细]
  • 利用SSH隧道实现外网对局域网机器的安全访问
    本文探讨了一种常见的网络配置问题及其解决方案,即如何在外网环境下安全地访问位于局域网内的计算机。特别介绍了使用SSH反向隧道技术来实现这一目标的具体步骤和注意事项。 ... [详细]
  • Linux环境下Git安装及常见问题解析
    本文详细介绍了在Ubuntu系统中安装Git的过程,包括环境检查、软件安装、用户配置以及SSH密钥生成等步骤,并针对安装过程中可能出现的问题提供了有效的解决方案。 ... [详细]
author-avatar
与幸福约定2502895163
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有