防火墙示例-用简单规则集保护网络
本文共 5336 字,大约阅读时间需要 17 分钟。
防火墙的配置要求如下:
1、 拒绝所有外面传入的、向外的和转发的包。
2、 允许所有外传的 TCP 连接:我们这里允许的如 web/telnet/ssh/ftp 等外传。
3、 允许外发的 TCP 连接的返回封包通过防火墙,需检查封包的状态。
4、 允许向外发送 UDP 连接在端口 53 上指定域名服务器,但只允许伟入的 DNS 封包进入内部的域名服务器 chivas 。
5、 创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则:来自专网的向因特网传递的封包需从内部接口 eth0 向外部接口 eth1 转发。返回的封包以相反方向发送回来。
6、 在内核中启用 IP 转发功能。
=========================================================================
构建一个基本的防火墙
------------------------------------
[root@linux-tys root]# sysctl –p ----- 设置 IP 转发
[root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward ----- 确认 IP 转发,可以见到结果为 1
[root@lg root]# iptables –F ----- 清除预设表 filter 中所有规则链的规则
[root@lg root]# iptables –X ----- 清除预设表 filter 中自定义规则链的规则
[root@lg root]# iptables –F –t mangle ----- 清除表 mangle 中所有规则链的规则
[root@lg root]# iptables –t mangle -X ----- 清除表 mangle 中所有自定义规则链的规则
[root@lg root]# iptables –F –t nat ----- 清除表 nat 中所有规则链的规则
[root@lg root]# iptables –t nat -X ----- 清除表 nat 中所有自定义规则链的规则
[root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT
[root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
[root@linux-tys root]# iptables -P INPUT DROP
[root@linux-tys root]# iptables -P OUTPUT DROP
[root@linux-tys root]# iptables -P FORWARD DROP
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ---- 此两行为在回送接口上允许内部网络流量
[root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW
----- 此规则设置新建和已建的 TCP 连接的封包将会通过 eth1 向外转发,不指明源和目标地址代表任何地址
[root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT -- 这条允许来自专网到达专网接口的所有流量,下面一条规则则是检查到达外部网络接口的每个封包,属于已有连接通过
[root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
以下配置规则使之从一个网络接口转发到另一个: 第一条规则接收所有来自专网的封包,并被转发到外网卡 eth1 上;第二条规则到达外部网络接口 eth1 上的封包,如属于已有连接,则转发到内网。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
最后建立 NAT 规则, POSTROUTING 表封包送出时需要翻译,该规则设置为对流出外部网络接口 eth1 的封包起作用,并将源地址变为 eth1 的地址。
[root@linux-tys root]# modprobe iptable_nat ---- 加载 NAT 模块
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
备份和恢复
1 、备份防火墙设置 : [root@lg root]# iptables-save>iptablesrules.txt 本次设为 iptablesdefault.txt
2 、删除防火墙设置 : [root@lg root]# iptables – F 删除所有的链。
3 、恢复防火墙设置 : [root@lg root]# iptables-restore iptablesrules.txt
使防火墙自动化
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables --- 保存规则到 /etc/syscofig/iptables 中,并自启动
[root@linux-tys root]# /etc/init.d/iptables start/stop/restart ---- 保存后则可用这个命令来控制其状态
===============================================================================
使用自定义链整固防火墙
------------------------------------------
基本规则并不检查除 TCP 连接状态以外的事项,可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性,更为复杂的规则集可指定哪一个 TCP 端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。
修改后的防火墙配置如下:
1 、首先也是启用转发,清空所有规则,设默认为 DROP ,在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是 SSH 的访问要保留。
2 、创建一个 PRIV 链来处理来自专用网络的流量。 这个链传递已有返回的封包,进入防火墙的 SSH 封包,以及目的地为因特网的 FTP 、 SSH 和 HTTP 封包,然后将 INPUT 链规则导向到这一个链上。
[root@linux-tys root]# iptables -N PRIV
[root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp –s 192.168.1.0/24 –d 192.168.1.254 --dport 22 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p udp –d 0/0 --dport 53 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV
[root@linux-tys root]# iptables -A OUTPUT –o eth0 -j PRIV
3 、创建一个链来处理来自 DMZ (如果使用的话)以及外部网络到达的流量。 这个链丢弃来自专用网络和 DMZ 网源地址的所有封包,这是因为,第一,前者是欺骗地址,第二,根据策略,不允许来自 DMZ 的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。
[root@linux-tys root]# iptables -N EXT
[root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT
[root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT -- 配置 INPUT 链,使之将流量导向到 EXT
[root@linux-tys root]# iptables -A OUTPUT –o eth1 -j EXT
4 、修改 FORWARD 链以创建网关功能。 自内网接口来的新的或已有的连接被转发到外部接口上。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
5 、建立 SNAT 规则。 对源地址起作用转换为 192.168.32.254 。此步后即可实现网关防火墙功能了。
[root@linux-tys root]# modprobe iptable_nat
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
6 、配置 OUTPUT 链。 使之允许来自防火墙服务的封包传到专用网络及因特网上。
[root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
[root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
7、 检查防火墙规则并添加一条规则然后保存规则
[root@linux-tys root]# iptables -L –v ---- -v 将显示网络接口的附加信息
[root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT
[root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables --- 保存规则到 /etc/syscofig/iptables 中,并自启动
本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/68584 ,如需转载请自行联系原作者
你可能感兴趣的文章
[转] Android开发之如何保证Service不被杀掉(broadcast+system/app)
查看>>
JavaScript模块化 --- Commonjs、AMD、CMD、es6 modules
查看>>
nginx tomcat https
查看>>
AlwaysVisibleControlExtender
查看>>
开源代码hosting openfoundryfrom tw
查看>>
HDU 4738 Caocao's Bridges (2013杭州网络赛1001题,连通图,求桥)
查看>>
topas解析(AIX)
查看>>
wxWidgets刚開始学习的人导引(3)——wxWidgets应用程序初体验
查看>>
为什么企业选择年底裁员?如何选择一个正确的公司!
查看>>
高德联手凯迪拉克 发布全球首个高精地图应用
查看>>
2018年IT市场最大的技术趋势和热点预测
查看>>
C语言竟成TIOBE年度编程语言候选!苹果iPhone 7卖得最好!
查看>>
云南实现手机自主补(换)领居民身份证
查看>>
呼伦湖国家级自然保护区管理局投放草料保野生黄羊过冬
查看>>
让普通视频变成慢动作:「AI加帧」技术现已开源
查看>>
实现一个完美符合Promise/A+规范的Promise
查看>>
前端 排序算法总结
查看>>
使用Vue+Spring Boot实现Excel上传
查看>>
linux学习笔记一
查看>>
工程师日常迷信指南
查看>>