iptables规则
规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛。当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件,我们就用相应的处理动作来处理。书写规则的语法格式为:
iptables[-ttable]commandchains[creteria]-jaction
-ttable就是表名,filter/nat/mangle三个表中的一个,默认是filter表
command告诉程序如何做,比如:插入一个规则,还是删除等
chains链,有五个,PREROUTINGPOSTROUTINGINPUTOUTPUTFORWARD
action处理动作,有ACCEPTDENYDROPREJECTSNATDNAT
理一下思路
下面一点点的说
一、Tables
选项-t用来指定用哪个表,它可以是下面的任何一个,默认的是filter表
二、COMMANDS
command指定iptables对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西,或其他的动作。一下是iptables可用的command(如不做说明,默认表是filter)
和命令结合常用的选项
三、chains
简单说一下五个链的作用:
PREROUTING是在包进入防火墙之后、路由决策之前做处理
POSTROUTING是在路由决策之后,做处理
INPUT在包被路由到本地之后,但在出去用户控件之前做处理
OUTPUT在去顶包的目的之前做处理
FORWARD在最初的路由决策之后,做转发处理
四、匹配条件
4.1基本匹配
4.2隐含扩展匹配
这种匹配操作是自动的或隐含的装入内核的。例如使用-ptcp时,不需要再装入任何东西就可以匹配只有IP包才有的特点。隐含匹配针对三种不同的协议,即TCPUDPICMP。它们分别有一套适用于相应协议的判断标准
TCP匹配只能匹配TCP包的细节,必须有-ptcp作为前提
--sportport基于TCP包的源端口来匹配包
--dportport基于TCP包的目的端口来匹配包
--tcp-flagstcp标志位有两个参数列表。第一个是指定要检查的标识位;第二个是指定为1的标识位
UDP匹配
--sprotport
--dportport
ICMP匹配
--icmp-type
8request请求
0reply回复响应
参考:http://www.cnblogs.com/itech/archive/2011/08/23/2150445.html
一、Netfilter规则表—filternatmangle
filter,用于路由网络数据包。是默认的,也就是说如果没有指定-t参数,当创建一条新规则时,它会默认存放到该表内。
INPUT网络数据包流向服务器
OUTPUT网络数据包从服务器流出
FORWARD网络数据包经服务器路由
nat,用于NAT表.NAT(NetAddressTranslation)是一种IP地址转换方法。
PREROUTING网络数据包到达服务器时可以被修改
OUTPUT网络数据包由服务器流出
POSTROUTING网络数据包在即将从服务器发出时可以被修改
mangle,用于修改网络数据包的表,如TOS(TypeOfService),TTL(TimeToLive),等
INPUT网络数据包流向服务器
OUTPUT网络数据包流出服务器
FORWARD网络数据包经由服务器转发
PREROUTING网络数据包到达服务器时可以被修改
POSTROUTING网络数据包在即将从服务器发出时可以被修改
1.配置Iptables
当数据包进入服务器时,LinuxKernel会查找对应的链,直到找到一条规则与数据包匹配。如果该规则的target是ACCEPT,就会跳过剩下的规则,数据包会被继续发送。如果该规则的target是DROP,该数据包会被拦截掉,kernel不会再参考其他规则。
Note:如果从始至终都没有一条规则与数据包匹配,而且表末尾又没有dropall的规则,那末该数据包会被accept。Cisco则相反,在表末尾会因含denyall的规则。
iptables[-ttables]commandoptionparametertarget
-A在链尾添加一条规则
-C将规则添加到用户定义链之前对其进行检查
-D从链中删除一条规则
-E重命名用户定义的链,不改变链本身
-F清空链,删除链上的所有规则-I在链中插入一条规则
-L列出某个链上的规则,如iptables–LINPUT列出INPUT链的规则
-N创建一个新链
-P定义某个链的默认策略
-R替换链上的某条规则
-X删除某个用户相关的链
-Z将所有表的所有链的字节和数据包计数器清零
2.)Iptables的命令参数
-p-–protocol
应用于数据包的协议类型,可以是TCPUDPICMP或ALL。!也可使用。
当使用-ptcp时,还可使用其他可以选项,以便允许进一步定义规则。选项包括:
--sport允许指定匹配数据包源端口.port1:port,表示port1和port2之间的所有端口
--dport目的端口,和--sport雷同。
当使用-p!udp时,也有特殊的选项供使包括:
--sport,--dport,与-ptcp相同,只不过用以用于UDP包。
使用-picmp参数时,只有一个选项可用。
--icmp-type,允许在过滤规则中指定icmp类型。
-s–-source指定数据包的源地址。该参数后跟一个IP地址,一个带有sub-netmask的网络地址,或一个主机名。(不建议使用主机名)
-d,--destination数据包的目的地址,同-s.
-j,--jump用于指定一个target,告诉规则将该匹配的数据包发送到该target。Target可以是ACCEPT,DROP,QUEUE,RETURN.如果没有-j,那么不会对数据包进行任何操作,只是将计数器加1。
-o--out-interface,对于OUTPUTFORWARDPOSTROUTING链,该参数指定数据包离开服务器时使用的端口。
3.)Iptables的命令target
创建规则的最后一步是指定Iptables对数据包的操作。只要某一规则匹配该数据包,就不会再有别的规则的操作。内建的target有:ACCEPTDROPQUEUERETURN。
ACCEPT:允许数据包通过,到达目的地。DROP:拒绝数据包通过,丢弃该包。
QUEUE:将数据包发送回到用户应用程序处理。
RETURN:不再根据当前链的其他规则来检查数据包,而是直接返回,继续被发送到其目的地址,或下一个链。
2.应用Iptables规则示例
允许WWW
iptables–AINPUT–ptcp–dport80–jACCEPT
该规则被添加到filter表的INPUT链,允许目的端口是80的数据包。
在内部接口上允许DHCP
iptables–AINPUT–ieth0–ptcp--sport68--dport67ACCEPT
iptables–AINPUT–ieth0–pucp--sport68--dport67ACCEPT
以上同时允许TCP和UDP协议。
3.保存和恢复Iptables
保存Iptables
使用iptables-save可将现行的iptables规则保存,
iptables-save>iptables保存路径,如#iptables-save>/etc/iptables.up.rule
恢复Iptables
使用iptables-restore可从配置文档恢复iptables表到现行iptables表.
iptables-restore</etc/iptables.up.rule
二、UbuntuServer中的Iptables
UbuntuServer6.06中已经默认安装iptables,版本是1.3.3.默认状态是关闭。
通过修改/etc/network/interfaces可将iptables打开:
autolo
Ifaceloinetloopback
autoeth0
ifaceeth0inetdhcp
#添加以下内容
pre-upiptables-restore</etc/iptables.up.rule
#calltherestoredrulewhenactivetheeth0
post-downiptables-save>/etc/iptables.up.rule
#restoretheiptablesrulewhenshutdowntheinterfaceeth0
然后重新激活eth0即可。
另外,可随时修改/etc/iptables.up.rule配置文件,来更改iptables的规则。Iptables.up.rule格式如下:
#Generatedbyiptables-saveV1.3.3onTueJul3114:18:442007
*filter
:INPUTACCEPT[73:8213]
:FORWARDACCEPT[0:0]
:OUTPUTACCEPT[8:825]
-AINPUT–ilo–picmp–jDROP
-AINPUT–ieth0–picmp–jDROP
COMMIT
#CompletedonTueJul3114:10:442007
行与行之间不能有空行。
三.Summary
iptables表链中每条规则的顺序很重要,如果首条是acceptall,那末所有的数据包都会被允许通过firewall,因此应当适当的安排规则顺序。
通常的法则是:拒绝所有允许少数.
参考:http://blog.chinaunix.net/uid-20520466-id-1655741.html
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
targetprotoptsourcedestination
targetprotoptsourcedestination
targetprotoptsourcedestination
ACCEPTall--0.0.0.0/00.0.0.0/0
ACCEPTicmp--0.0.0.0/00.0.0.0/0icmptype255
ACCEPTesp--0.0.0.0/00.0.0.0/0
ACCEPTah--0.0.0.0/00.0.0.0/0
ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353
ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631
ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80
ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25
REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
targetprotoptsourcedestination
targetprotoptsourcedestination
[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
targetprotoptsourcedestination
targetprotoptsourcedestination
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
如果做了邮件服务器,开启25,110端口.
[root@tp~]#iptables-AINPUT-ptcp--dport25-jACCEPT
如果做了FTP服务器,开启21端口
IPTABLES-AOUTPUT-olo-pall-jACCEPT(如果是OUTPUTDROP)
ChainPREROUTING(policyACCEPT)
targetprotoptsourcedestination
targetprotoptsourcedestination
SNATall--192.168.0.0/24anywhereto:211.101.46.235
targetprotoptsourcedestination
[root@tpsysconfig]#iptables-tnat-APREROUTING-ieth0-s172.16.0.0/12-jDROP
[root@tpsysconfig]#iptables-tnat-APREROUTING-ieth0-s192.168.0.0/16-jDROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
[root@tp~]#iptables-AINPUT-mstate--stateINVALID-jDROP
[root@tp~]#iptables-AOUTPUT-mstate--stateINVALID-jDROP
[root@tp~]#iptables-AFORWARD-mstate--stateINVALID-jDROP
允许所有已经建立的和相关的连接
[root@tp~]#iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
[root@tp~]#iptables-AOUTPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
[root@tp~]#/etc/rc.d/init.d/iptablessave
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp~]#serviceiptablesrestart
别忘了保存,不行就写一部保存一次.你可以一边保存,一边做实验,看看是否达到你的要求,
Linux防火墙介绍
摘要:本文介绍了LINUX下常用的防火墙规则配置软件Iptables;从实现原理、配置方法以及功能特点的角度描述了LINUX防火墙的功能
关键字:LINUX防火墙IptablesIpchains包过滤
一前言:
Linux为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。防火墙作为网络安全措施中的一个重要组成部分,一直受到人们的普遍关注。LINUX是这几年一款异军突起的操作系统,以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。LINUX防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核,LINUX操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的,就是使用特定的配置软件(如iptables)去定制适合自己的“数据包处理策略”。
二防火墙包过滤:对数据包进行过滤可以说是任何防火墙所具备的最基本的功能,而LINUX防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中,操作系统内核对到来的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源IP地址、目的IP地址、源端口号、目的端口号等,再与已建立的防火规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。值得注意的是,在制定防火墙过滤规则时通常有两个基本的策略方法可供选择:一个是默认允许一切,即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包;还有一个策略就是默认禁止一切,即首先禁止所有的数据包通过,然后再根据所希望提供的服务去一项项允许需要的数据包通过。一般说来,前者使启动和运行防火墙变得更加容易,但却更容易为自己留下安全隐患。通过在防火墙外部接口处对进来的数据包进行过滤,可以有效地阻止绝大多数有意或无意地网络攻击,同时,对发出的数据包进行限制,可以明确地指定内部网中哪些主机可以访问互联网,哪些主机只能享用哪些服务或登陆哪些站点,从而实现对内部主机的管理。可以说,在对一些小型内部局域网进行安全保护和网络管理时,包过滤确实是一种简单而有效的手段。
代理:LINUX防火墙的代理功能是通过安装相应的代理软件实现的。它使那些不具备公共IP的内部主机也能访问互联网,并且很好地屏蔽了内部网,从而有效保障了内部主机的安全。
IP伪装:IP伪装(IPMasquerade)是LINUX操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块,内核可以自动地对经过的数据包进行“伪装”,即修改包头中的源目的IP信息,以使外部主机误认为该包是由防火墙主机发出来的。这样做,可以有效解决使用内部保留IP的主机不能访问互联网的问题,同时屏蔽了内部局域网。
Linux下的包过滤防火墙管理工具:
在2.0的内核中,采用ipfwadm来操作内核包过滤规则。
在2.2的内核中,采用ipchains来控制内核包过滤规则。
在2.4的内核中,采用一个全新的内核包过滤管理工具——iptables。
包过滤防火墙的工作原理:
使用过滤器。数据包过滤用在内部主机和外部主机之间,过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则原则来决定是否让数据包通过。
过滤的实现。数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。
包过滤防火墙的工作层次:
应用层应用层
传输层传输层
网络层数据路由器数据网络层
数据链路层数据链路层数据链路层
物理层物理层物理层
包过滤器操作的基本过程:
包过滤技术的优缺点
优点:
对于一个小型的、不太复杂的站点,包过滤比较容易实现。
因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。
过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。
过滤路由器在价格上一般比代理服务器便宜。
缺点:
一些包过滤网关不支持有效的用户认证。
规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。
这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。
在一般情况下,如果外部用户被允许访问内部主机,则他就可以访问内部网上的任何主机。
包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能被阻止,而且它不能防止DNS欺骗。
在Linux系统上,支持包过滤的核心中有三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发链。当一个包通过以太网卡进来后,核心使用输入链决定该包的取舍。如果该包没有被丢弃,则核心要决定下面将向哪里发送包,称为包的路由。如果要发给另一个机器,核心通过转发链来决定。最后,在包要被发出之前,核心通过输出链来做决定。一个链是一些规则的列表。每个规则规定:如果包的包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入链中的下一个规则。最后,如果没有要引入的规则,核心根据内置链策略决定如何做。在一个有安全意识的系统中,该规则通常告诉核心将包拒绝或丢弃。
在这先介绍Ipchains,之后再介绍Iptables。
Ipchains:
Ipchains经常使用的命令行格式如下:Ipchains–Achain[–iinterface][–pprotocol][[!]-y][–ssource-ip[port]][-ddestination-ip[port]]–jpolicy[-l]对各选项的说明如下表:-A<chain>添加一规则到链尾。chain可为input、output、forward。-i<interface>指定本规则适用的网络接口。通常有eth0、eth1、lo等。-p<protocol>指定本规则适用的IP协议,如tcp、udp、icmp等。[!]–y-y表明tcp握手中的连接请求标志位SYN;!–y表示对该请求的响应。-ssrc-ip[port]指明数据包的源IP地址,port表示本规则适用的端口号。-ddst-ip[port]指明数据包的目的IP地址及端口号。-jpolicy
;指定本规则对匹配数据包的处理策略:ACCEPT、DENY或REJECT。-l在系统日志/var/log/messages中记录与该规则匹配的数据包。
#ipchains–Ainput–s201.202.203.58/32www–ptcp–jDENY地址201.202.203.58送到www(HTTP)端口的任何TCP包都将被屏蔽。先创建一个名为check的新链,然后再把所有发送到输入链的包送到check链:#ipchains–Ncheck#ipchains–Acheck–s201.202.203.0/24–jACCEPT#ipchains–Acheck–s!201.202.203.0/24–jDENY#ipchains–Ainput–jcheck系统会接受(只会接受)从201.202.203.0发送的所有软件包,式中感叹号(!)代表的意思是“非”,匹配“非201.202.203.0端口”。禁止telnet(端口23)连接:#ipchains–Iforward–s0.0.0.023–jDENY
Iptables的规则要素:
指定表(table)
指定操作命令(command)
指定链(chains)
指定规则匹配器(matcher)
指定目标动作(target)
表。Iptables从其使用的3个表而得名,分别是filter、nat和mangle。对于包过滤防火墙只使用filter表。表filter是默认的表。
操作命令。包括添加、删除、更新等。
链。对于包过滤防火墙可操作filter表中的INPUT链、OUTPUT链和FORWARD链。也可以操作由用户自己定义的自定义链。
规则匹配器。可以指定各种规则匹配,如IP地址、端口、包类型等。
目标动作。当规则匹配一个包时,真正要执行的任务用目标标识。最常用的内置目标分别是:
ACCEPT表示允许包通过。
DROP表示被丢弃。
REJECT表示拒绝包,丢弃包的同时给发送者发送没有接受的通知。
LOG表示包的有关信息被记录入日志。
TOS表示改写包的ToS的值。
Iptables的语法通常可以简化为:iptables[-ttable]CMD[chain][rule-matcher][-jtarget]其中:table为表名,CMD为操作命令,chain为链名,rule-matcher为规则匹配器,target为目标动作。
操作命令:
-A或—append在所选链的链尾加入一条或多条规则-D或—delete从所选链中删除一条或多条匹配的规则-R或—replace在所选链中替换一条匹配的规则-I或—insert以给出的规则号在所选链中插入一条或多条规则。如果规则号是1,插入的规则在链的头部-L或—list列出指定链的所有规则。如果没有指定链,将列出所有链中的所有规则-F或—flush清除指定链和表中的所有规则。假如不指定链,那么所有链都将被清空-N或—new-chain以给定的名字创建一条新的用户自定义链。不能与已有的链同名-X或—delete-chain删除指定的用户定义链,必须保证链中的规则都不在使用时才能删除链。若没有指定链,则删除所有的用户链-P或—policy为永远链指定默认规则(内置链策略)。用户定义链没有缺省规则也是规则链中的最后一条规则,用-L命令显时它在第一行显示-C或—check检查给定的包是否与指定链的规则相匹配-Z或—zero将指定链中所有的包字节记数器清零
规则匹配器:
-P,[!]protocol指定要匹配的协议,可以是tcp、udp、icmp、all。协议名前缀“!”为逻辑非,表示除去该协议之外的所有协议。-s[!]address[/mask]根据源地址或地址范围确定是否允许或拒绝数据包通过过滤器--sport[!]port[:port]指定匹配规则的源端口或端口范围。可以用端口好,也可以用/etc/services文件中的文字-d[!]address[/mask]根据目的地址或地址范围确定是否允许或拒绝数据包通过过滤器--dport[!]port[:port]指定匹配规则的目的端口或端口范围。可以用端口号,也可以用/etc/services文件中的名字--icmp-type[1]typename指定匹配规则的ICMP信息类型(可以使用iptables–picmp–h查看有效的icmp类型名)
Iptables软件包提供了两个命令分别用于保存和恢复规则集。可以使用命令转储在内存中的内核规则集。其中/etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件:#/sbin/iptables-save>/etc/sysconfig/iptables要恢复原来的规则库,需使用命令:#/sbin/iptables-restore</etc/sysconfog/iptables为了使用得用iptables命令配置的规则在下次启动机器时还能被使用,有两种方法。
使用iptables得启动脚本实现。Iptables的启动脚本/etc/rc.d/init.d/iptables每次启动时都使用/etc/sysconfig/iptables所提供的规则进行规则恢复,并可以使用命令保存规则:#serviceiptablessave
在自定义脚本中用iptables命令直接创建规则集。可以直接用iptables命令编写一个规则脚本,并在启动时执行这个脚本。若规则脚本的文件名为/etc/fw/rules,则可以在启动脚本/etc/rc.d/rc.local中加入的代码:if[-x/etc/fw/rules];then/etc/fw/rules;fi;如果使用此种方式,建议使用ntsysv命令关闭系统的iptables守护进程。
建立包过滤防火墙
这个网络结构假设内部网有有效的Internet地址。为了将内部网段198.168.80.0/24与Internet隔离,在内部网络和Internet之间使用了包过滤防火墙。防火墙的网接口是eth1(198.168.80.254),防火墙的Internet接口是eth0(198.199.37.254)。加外,内网中有3台服务器对外提供服务。分别为:
WWW服务器:IP地址为198.168.80.251
FTP服务器:IP地址为198.168.80.252
E-mail服务器:IP地址为198.168.80.253
防火墙的建立过程
#!/sbin/bash在屏幕上显示信息:echo"Startingiptablesrules..."#开启内核转发功能echo"1">;/proc/sys/net/
ipv4/ip_forward#定义变量IPT=/sbin/iptablesWWW-SERVER=198.168.80.251FTP-SERVER=198.168.80.252EMAIL-SERVER=198.168.80.253IP_RANGE="198.168.80.0/24"#刷新所有的链的规则$IPT–F#首先禁止转发任何包,然后再一步步设置允许通过的包#所以首先设置防火墙FORWARD链的策略为DROP$IPT-PFORWARDDROP#下面设置关于服务器的包过滤规则#由于服务器/客户机交互是双向的,所以不仅仅要设置数据包#出去的规则,还要设置数据包返回的规则
(1)WWW服务服务端口为80,采用tcp或udp协议规则为eth0=>;允许目的为内部网WWW服务器的包$IPT-AFORWARD-ptcp-d$WWW-SERVER-dportwww-ieth0-jACCEPT(2)FTP服务服务端口为21,数据端口20FTP的传输模式有主动和被动之分,FTP服务采用tcp协议规则为:eth0=>;仅允许目的为内部网ftp服务器的包$IPT-AFORWARD-ptcp-d$FTP-SERVER-dportftp-ieth0-jACCEPT(3)EMAIL服务包含两个协议,一个是smtp,另一个是pop3出于安全性考虑,通常只提供对内的pop3服务所以在这里我们只考虑对smtp的安全性问题smtp端口为25,采用tcp协议规则为etho=>;仅允许目的为E-mail服务器的smtp请求$IPT-AFORWARD-ptcp-d$EMAIL-SERVER-dportsmtp-ieth0-jACCEPT
下面设置针对Internet客户的过滤规则:
本例中防火墙位于网关的位置,所以主要是防止来自Internet的攻击不能防止来自Intranet的攻击假如网络中的服务器都是基于Linux的,也可以在每一部服务器上设置相关的过滤规则来防止来自Internet的攻击
对于Internet对Intranet客户的返回包,定义如下规则:(1)允许Intranet客户采用被动模式访问Internet的FTP服务器$IPT-AFORWARD-ptcp-s0/0--sportftp-data-d$IP_RANGE-ieth0-jACCEPT(2)接收来自Internet的非连接请求tcp包$IPT-AFORWARD-ptcp-d198.168.80.0/24!--syn-ieth0-jACCEPT(3)接收所有udp包,主要是针对oicq等使用udp的服务$IPT-AFORWARD-pudp-d198.168.80.0/24-ieth0-jACCEPT
然后接受来自整个Intranet的数据包过滤,我们定义如下规则$IPT-AFORWARD-s198.168.80.0/24-ieth1-jACCEPT处理ip碎片接受所有的ip碎片,但采用limit匹配扩展对其单位时间可以通过的ip碎片数量进行限制,以防止ip碎片攻击$IPT-AFORWARD-f-mlimit-limit100/s-limit-burst100-jACCEPT说明:对不管来自哪里的ip碎片都进行限制,允许每秒通过100个ip碎片该限制触发的条件是100个ip碎片设置icmp包过滤ipmp包通常用于网络测试等,故允许所有的icmp包通过但是黑客常常采用icmp进行攻击,如pingofdeath等所以我们采用limit匹配扩展加以限制$IPT-AFORWARD-picmp-mlimit-limit1/s-limit-burst10-jACCEPT说明:对不管来自哪里的icmp包都进行限制,允许每秒通过一个包该限制触发的条件是10个包
三结束语:
对防火墙的不当配置可能造成安全漏洞。如处理TCP分段时,Ipchains需要查看包头中的源端口、目的端口、ICMP代码或“TCPSYN”标志等信息,而这些信息只能在TCP分段的第一个IP包中才有。于是从第二个分段开始都不能匹配过滤规则。某些管理者将防火墙配置为仅对第一个分段进行处理。通常,一个TCP连接的第一个TCP分段被防火墙阻挡后,其他的TCP分段被认为不会产生安全性问题,因为在目的主机上由于缺少第一个分段而无法重新组装报文。然而,由于系统缺陷等原因,发送的分段可能使机器瘫痪,甚至人为精心设计的IP包可借此缺陷绕过防火墙。因此配置防火墙需要仔细分析过滤规则如何处理各种类型的分组。对分段的处理最好将系统内核编译为重新组装所有通过的分段,或在应用层另设安全机制。
对基于包过滤防火墙更常见的攻击是利用IP欺骗的方法。IP欺骗是指主机发送自称是另一个主机发送的包。防止IP欺骗的方法是使用源地址确认,它通过配置路由器识别路由代码实现,而不是防火墙。防火墙结合源地址确认能较好地增强系统的安全性
四参考文献
《RedHatLinux9网络服务》机械工业出版社《Turbolinux网络管理教程》《Turbolinux系统管理教程》
参考:http://biyelunwen.yjbys.com/fanwen/jisuanji/368996_3.html
