随心订制linux透明防火墙
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-05-04
#define route /sbin/ip route del 192.168.1.0/24 dev eth0 /sbin/ip route add 192.168.1.1 dev eth0 /sbin/ip route add 192.168.1.0/24 dev eth1 linux防火墙,如果不出意外,就可以从192.168.1.18 这台主机访问internet,当然内网的任何机器都是可以访问internet 的.在这里对定义的路由(define route)作些说明:/sbin/ip route del 192.168.1.0/24 dev eth0 表明所有到子网192.168.1.0/24的数据包都不从网卡eth0转发而从 eth1转发,即命令 /sbin/ip route add 192.168.1.0/24 dev eth1;/sbin/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的数据包都由eth0转发,这其实可以理解为两个网卡数据转发的分工—到192.168.1.1 的数据包由eth0负责,其余的由eth1负责.到这一步,恭喜你!已经成功了一大半,如果安装linux的时候,选择的防火墙规则为中等级别,那么这个防火墙已经配置成功了.相信大家跟我一样,且肯就此罢休. 定制防火墙策略 都是2.4.20的内核版本,当然要用netfilter/iptables.安装linux系统的时候,选择了“无防火墙”这个选项,那么在/etc/sysc 下将没有iptables这个文件存在.还是让我们随心所欲的来定制防火墙访问策略吧. 在目录 /etc/rc.d 下创建脚本文件 myfirewall.sh,用命令 touch /etc/rc.d/myfirewall.sh并给文件执行权限 chmod 711 myfirewall.然后用 vi 编辑这个文件.我写的这个 vi /etc/rc.d/myfirewall.sh #!/bin/bash #define string ipt=/sbin/iptables #refresh rules $ipt -f forward $ipt -f input $ipt -f output #default policy $ipt -p input drop $ipt -p forward drop $ipt -p output accept #enable loopback $ipt -a input -i lo -p all -j accept #enable icmp
$ipt -a input -p icmp ╟j accept #interface forward $ipt -a forward -s 192.168.1.0/24 -j accept $ipt -a forward -d 192.168.1.0/24 -j accept #enable ssh $ipt -a input -p tcp --dport 22 -j accept #add other access rule //可根据实际情况添加或减少规则 $ipt -a input -p tcp --dport 20 -j accept $ipt -a input -p tcp --dport 21 -j accept $ipt -a input -p tcp --dport 80 -j accept $ipt -a input -p tcp --dport 53 -j accept $ipt -a input -p udp --dport 53 -j accept $ipt -a input -p tcp --dport 23 -j accept $ipt -a input -p tcp --dport 110 -j accept $ipt -a input -p tcp --dport 25 -j accept $ipt -a input -p tcp --dport 443 -j accept 规则只开放了较少的允许访问的策略(可以ping ,收发邮件,浏览网页,ssh,https,telnet,ftp,其它的访问则全部丢弃).$ipt ╟a output accept 没有设置成drop的原因是大部分网络服务所使用的协议是tcp协议,众所周知,tcp协议是面向连接的,如果设置 $ipt ╟a output drop, 那么任何协议为tcp的连接就要写两条了.况且防火墙对外的访问总是允许的,因此这样做是为了简化规则. 修改完成后保存,然后在当前目录运行命令 ./myfirewall.sh,在上述脚本没有书写错误的情况下,规则生效,但它仅仅在内存里,用命令 service iptables save 将自动生成文件 /etc/sysc /etc/sysc 获得定制的访问策略. 到这里,一个透明的linux 防火墙就架设好了.更改计算机的bios设置,使它可以在没有键盘的情况下启动系统.启用ftp,以便可以在需要时可以向防火墙主机拷贝文件.把键盘和显示器拿掉,剩下的操作只是摁一下电源开关. 防火墙的管理 可能有时候我们需要更改防火墙的某些规则,或者做些别的管理,既然我们是系统管理员,再插上键盘和接上显 |
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: SuSE Linux9.1 硬盘安装方法下一篇: BSD/Linux Tips
关于随心订制linux透明防火墙的所有评论