Linux防火墙示例 用简单规则集保护网络 (2)

http://www.sina.com.cn 2008年04月11日 08:22  赛迪网

  备份和恢复

  1、备份防火墙设置:[root@lg root]# iptables-save>iptablesrules.txt 本次设为iptablesdefault.txt

  2、删除防火墙设置:[root@lg root]# iptables –F 删除所有的链。

  3、恢复防火墙设置:[root@lg root]# iptables-restore iptablesrules.txt

  使防火墙自动化

  [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动

  [root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----保存后则可用这个命令来控制其状态

  使用自定义链整固防火墙

  基本规则并不检查除TCP连接状态以外的事项,可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性,更为复杂的规则集可指定哪一个TCP端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。

  修改后的防火墙配置如下:

  1、首先也是启用转发,清空所有规则,设默认为DROP,在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是SSH的访问要保留。

  2、创建一个PRIV链来处理来自专用网络的流量。这个链传递已有返回的封包,进入防火墙的SSH封包,以及目的地为因特网的FTP、SSH和HTTP封包,然后将INPUT链规则导向到这一个链上。

  [root@linux-tys root]# iptables -N PRIV

  [root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT

  [root@linux-tys root]# iptables -A PRIV -p tcp –s 192.168.1.0/24 –d 192.168.1.254 --dport 22 -j ACCEPT

  [root@linux-tys root]# iptables -A PRIV -p udp –d 0/0 --dport 53 -j ACCEPT

  [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT

  [root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT

  [root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV

  [root@linux-tys root]# iptables -A OUTPUT –o eth0 -j PRIV

  3、创建一个链来处理来自DMZ(如果使用的话)以及外部网络到达的流量。这个链丢弃来自专用网络和DMZ网源地址的所有封包,这是因为,第一,前者是欺骗地址,第二,根据策略,不允许来自DMZ的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。

  [root@linux-tys root]# iptables -N EXT

  [root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP

  [root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP

  [root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT

  [root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT

  [root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --配置INPUT链,使之将流量导向到EXT

  [root@linux-tys root]# iptables -A OUTPUT –o eth1 -j EXT

  4、修改FORWARD链以创建网关功能。自内网接口来的新的或已有的连接被转发到外部接口上。

  [root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

  [root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

  5、建立SNAT规则。对源地址起作用转换为192.168.32.254。此步后即可实现网关防火墙功能了。

  [root@linux-tys root]# modprobe iptable_nat

  [root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

  6、配置OUTPUT链。使之允许来自防火墙服务的封包传到专用网络及因特网上。

  [root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

  [root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

  7、检查防火墙规则并添加一条规则然后保存规则

  [root@linux-tys root]# iptables -L –v ---- -v将显示网络接口的附加信息

  [root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT

  [root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存

  [root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动。

  (责任编辑:云子)

[上一页] [1] [2]

本文导航:
·构建一个基本的防火墙
·备份和恢复

发表评论 _COUNT_条
Powered By Google
不支持Flash
·《对话城市》直播中国 ·新浪特许频道免责公告 ·诚招合作伙伴 ·企业邮箱畅通无阻
不支持Flash