快速业务通道

随心订制linux透明防火墙

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-05-04
#define route
/sbin/ip route del 192.168.1.0/24 dev eth0
/sbin/ip route add 192.168.1.1 dev eth0
/sbin/ip route add 192.168.1.0/24 dev eth1
linux防火墙,如果不出意外,就可以从192.168.1.18 这台主机访问internet,当然内网的任何机器都是可以访问internet 的.在这里对定义的路由(define route)作些说明:/sbin/ip route del 192.168.1.0/24 dev eth0 表明所有到子网192.168.1.0/24的数据包都不从网卡eth0转发而从 eth1转发,即命令 /sbin/ip route add 192.168.1.0/24 dev eth1;/sbin/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的数据包都由eth0转发,这其实可以理解为两个网卡数据转发的分工—到192.168.1.1 的数据包由eth0负责,其余的由eth1负责.到这一步,恭喜你!已经成功了一大半,如果安装linux的时候,选择的防火墙规则为中等级别,那么这个防火墙已经配置成功了.相信大家跟我一样,且肯就此罢休.

定制防火墙策略
都是2.4.20的内核版本,当然要用netfilter/iptables.安装linux系统的时候,选择了“无防火墙”这个选项,那么在/etc/sysc 下将没有iptables这个文件存在.还是让我们随心所欲的来定制防火墙访问策略吧.

在目录 /etc/rc.d 下创建脚本文件 myfirewall.sh,用命令 touch /etc/rc.d/myfirewall.sh并给文件执行权限 chmod 711 myfirewall.然后用 vi 编辑这个文件.我写的这个
vi /etc/rc.d/myfirewall.sh
#!/bin/bash
#define string
ipt=/sbin/iptables

#refresh rules
$ipt -f forward
$ipt -f input
$ipt -f output

#default policy
$ipt -p input drop
$ipt -p forward drop
$ipt -p output accept

#enable loopback
$ipt -a input -i lo -p all -j accept

#enable icmp
Empire CMS,phome.net

$ipt -a input -p icmp ╟j accept

#interface forward
$ipt -a forward -s 192.168.1.0/24 -j accept
$ipt -a forward -d 192.168.1.0/24 -j accept

#enable ssh
$ipt -a input -p tcp --dport 22 -j accept

#add other access rule //可根据实际情况添加或减少规则
$ipt -a input -p tcp --dport 20 -j accept
$ipt -a input -p tcp --dport 21 -j accept
$ipt -a input -p tcp --dport 80 -j accept
$ipt -a input -p tcp --dport 53 -j accept
$ipt -a input -p udp --dport 53 -j accept
$ipt -a input -p tcp --dport 23 -j accept
$ipt -a input -p tcp --dport 110 -j accept
$ipt -a input -p tcp --dport 25 -j accept
$ipt -a input -p tcp --dport 443 -j accept

规则只开放了较少的允许访问的策略(可以ping ,收发邮件,浏览网页,ssh,https,telnet,ftp,其它的访问则全部丢弃).$ipt ╟a output accept 没有设置成drop的原因是大部分网络服务所使用的协议是tcp协议,众所周知,tcp协议是面向连接的,如果设置 $ipt ╟a output drop, 那么任何协议为tcp的连接就要写两条了.况且防火墙对外的访问总是允许的,因此这样做是为了简化规则.

修改完成后保存,然后在当前目录运行命令 ./myfirewall.sh,在上述脚本没有书写错误的情况下,规则生效,但它仅仅在内存里,用命令 service iptables save 将自动生成文件 /etc/sysc /etc/sysc 获得定制的访问策略.

到这里,一个透明的linux 防火墙就架设好了.更改计算机的bios设置,使它可以在没有键盘的情况下启动系统.启用ftp,以便可以在需要时可以向防火墙主机拷贝文件.把键盘和显示器拿掉,剩下的操作只是摁一下电源开关.

防火墙的管理
可能有时候我们需要更改防火墙的某些规则,或者做些别的管理,既然我们是系统管理员,再插上键盘和接上显

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号