基于Linux系统的包过滤防火墙(3)

80酷酷网    80kuku.com

  

  第3章、包过滤防火墙配置举例

  3.1 建立包过滤防火墙

  3.1.1网络结构

  本节为一个的网络结构建立一个包过滤防火墙。

  这个网络结构假设内部网有有效的Internet地址。为了将内部网段198.168.80.0/24与Internet隔离,在内部网络和 Internet之间使用了包过滤防火墙。防火墙的网接口是eth1(198.168.80.254),防火墙的Internet接口是eth0 (198.199.37.254)。加外,内网中有3台服务器对外提供服务。分别为:

  → WWW服务器:IP地址为198.168.80.251

  → FTP服务器:IP地址为198.168.80.252

  → E-mail服务器:IP地址为198.168.80.253

  3.1.2 防火墙的建立过程

  本例主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具本过程如下:

  #!/sbin/bash

  #在屏幕上显示信息

  echo "Starting iptables rules..."

  #开启内核转发功能

  echo "1">;/proc/sys/net/ipv4/ip_forward

  #定义变量

  IPT=/sbin/iptables

  WWW-SERVER=198.168.80.251

  FTP-SERVER=198.168.80.252

  EMAIL-SERVER=198.168.80.253

  IP_RANGE="198.168.80.0/24"

  #刷新所有的链的规则

  $IPT -F

  #首先禁止转发任何包,然后再一步步设置允许通过的包

  #所以首先设置防火墙FORWARD链的策略为DROP

  $IPT -P FORWARD DROP

  #下面设置关于服务器的包过滤规则

  #由于服务器/客户机交互是双向的,所以不仅仅要设置数据包

  #出去的规则,还要设置数据包返回的规则

  #

  #(1)WWW服务

  #服务端口为80,采用tcp或udp协议

  #规则为eth0=>;允许目的为内部网WWW服务器的包

  $IPT -A FORWARD -p tcp -d $WWW-SERVER-dport www -i eth0 -j ACCEPT

  #

  #(2)FTP服务

  #服务端口为21,数据端口20

  #FTP的传输模式有主动和被动之分,FTP服务采用tcp协议

  #规则为:eth0=>;仅允许目的为内部网ftp服务器的包

  $IPT -A FORWARD -p tcp -d $FTP-SERVER -dport ftp -i eth0 -j ACCEPT

  #

  # (3)EMAIL服务

  #包含两个协议,一个是smtp,另一个是pop3

  #出于安全性考虑,通常只提供对内的pop3服务

  #所以在这里我们只考虑对smtp的安全性问题

  #smtp端口为25,采用tcp协议

  #规则为etho=>;仅允许目的为E-mail服务器的smtp请求



分享到
  • 微信分享
  • 新浪微博
  • QQ好友
  • QQ空间
点击: