如何用老式奔腾机和Linux构建防火墙(组图)(4)
时间:2018-05-08 20:49 来源:网络整理 作者:墨客科技 点击:次
-p TCP -d 192.168.1.24 ! www -j DENY D 否决要到 Jane 机器上 www之外任何端口的TCP 包。命令中的感叹后(!)表示对它后面的值取非,这里即用 ! www 来表示除了 www之外的所有端口值。 -p TCP -d ! 192.168.1.24 www -j DENY 否决要到除了 Jane 之外的其他机器 www端口的所有TCP 包。注意这条命令与上一条并不相同。 -p TCP -d ! 192.168.1.24 ! www -j DENY 否决所有要到 Jane 之外的其他机器,并且非www端口的 TCP 包。也就是说,它允许那些到达 Jane 的 www 端口的 TCP包。尽量不要用这样的规则,以免引起混乱。 -p ! TCP -d 192.168.1.24 -j DENY 否决所有要到 Jane 机器上的 TCP 之外的数据包。 对于 UDP 协议,其工作情况类似。而对于支持 ping 和 traceroute 的 ICMP 协议则需要指定端口. -p ICMP -d 192.168.1.24 0 -j ACCEPT -p ICMP -d 192.168.1.24 8-jACCEPT 接受对 Jane 的 ping 包。为了让 ping 正常工作,这两条规则(ICMP 端口0和8)必须分开写。 -p ICMP -d 192.168.1.24 3 -j ACCEPT 如果Jane机器上的用户试图访问一个远程站点,所返回的“无法到达” ICMP 消息允许通过。访问一些远程机器的telnet或其他服务时,常有这种没有回应的情况发生,因此通常都会使用这条规则。 -p ICMP -d 192.168.1.24 11 -j DENY 否决来自防火墙外部traceroute命令的数据包。 除了地址和协议信息,您还可以指定通过包的网络接口驱动程序。如果要加入考虑数据包的来源,是比较容易的,在指定过滤规则应用的网络端口时也很有用。 -i eth0 -s 192.168.1.24 -j ACCEPT 使用第一块以太网卡 (eth0) 来接受所有来自Jane的数据包。 -i eth+ -s 192.168.1.24 -j ACCEPT 可以用任何一块网卡 (eth+) 来接受来自Jane的数据包。 -i ppp0 -p TCP -s 198.102.68.2 1025:65535 -j ACCEPT 通过ppp接口,来接受所有来自 familiar (198.102.68.2) 1025 到 65535 端口之间的 TCP 包。 有两种特殊的策略组件指定 TCP_SYN 标志 (-y) 和碎片包 (-f)。当 TCP 客户端第一次试图连接远程TCP服务器时,TCP_SYN 标志被设置。不幸的是,黑客会利用它攻击远程服务器,其做法是发送大量TCP_SYN消息而不真正连接服务器,从而锁住所有服务器进程,使其速度变慢或使服务器崩溃。只要为该组件指定 TCP 组件-p,就可以阻止外部的TCP_SYN 攻击。 碎片包过滤规则组件是必要的,因为 IP 包常常通过不同容量的的网络连接。有时他们不得不分成一些名为碎片的更小的包以便顺利通过小容量的连接通道。在 PPP 协议下用调制解调器连接网络时常发生这种情况。例如,以太网可以传送长为1500字节的 IP 包,而调制解调器(串行线)的包通常是256字节;以太网量级的包不得不分成六份以符合调制解调器量级的碎片包。到达目的机器后,这些碎片包就被组合起来。因此,在 PPP 或SLIP协议下使用调制解调器连接网络时,您应该指定这个规则组件,这样防火墙才会把包视作一体。也只有如此它才能正确辨识传输层协议(TCP,UDP, ICMP) 信息,从而实施其他规则。 在命令行下运行以上规则,并用 /sbin/ipchains-L命令检查其顺序是否正确。接着还要按照"开始/关闭"脚本指定的文件名来保存这些规则(我们的例子中,该文件是/etc/firewall.rules)。下次系统启动时就会使用这些规则了。需要注意的是,每次您定义新规则都必须运行以下命令: # /sbin/ipchains-save > /etc/firewall.rules 接下来给出一些配置实例,您可以看到如何为防火墙制定规则。 一些配置实例 这个例子是最简单的防火墙模型,只允许位于保护范围内的机器访问外部网络,但禁止任何外部机器进入内部网络。您首先要拦截由任何接口流出的所有包,然后只让那些具有转换过的地址信息的包通过。 # /sbin/ipchains -P forward DENY # /sbin/ipchains -A forward -f -i ppp0 -j MASQ (责任编辑:admin) |