第六篇构建一个独立的防火墙探析.doc

CIW课程之 用LINUX AS构建和安装一个独立的防火墙 防火墙支持状态过滤。状态主要有以下四种： NEW说明这个包是我们看到的第一个包。意思就是，这是conntrack(内核包跟踪)模块看到的某个连接第一个包，它即将被匹配了。比如，我们看到一个SYN 包，是我们所留意的连接的第一个包，如UDP包，就要匹配它 ESTABLISHED在两个方向上的数据传输。即只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED，只要它们是我们所发出的信息的应答 就认为是此状态。 RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这个新的连接就是 RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有关的一个RELATED INVALID说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况，比如，内存溢出，收到不知属于哪个连接的ICMP 错误信息。一般地，我们DROP这个状态的任何东西。 本章所建立的防火墙对于单系统的家庭或是 Internet，或用单个防火墙来保护一个小型的专用的局域网。之所以这样假设是因为这样的站点一般不会去花更多资金来扩展原有系统结构以构建更高级的防火墙。“最小安全”并不是“不安全”，这种“最小保护”防火墙只是比拥有较多机器的更复杂的防火墙稍差一些。安全性是一种可利用的资源与逐渐减少的回报之间的均衡。如果要求更高的安全性，付出更多的投入，不一定能在效益上有相应倍数的提高。会介绍更多的安全配置，以提供保护较为复杂的局域网的附加内部安全作为防火墙的管理程序，iptables为输入和输出规则链建立单独的数据包过滤规则以组成防火墙。定义防火墙规则的一个重要方面就是规则的定义顺序。 数据包过滤规则以它们被定义的顺序存储在内核的输入、输出或转发规则链中。单个规则被插入到链的开头或添加到链的结尾。本章例子中的所有规则都是添加到链的结尾的本章所有过/etc／services中列出的那样。iptables支持符号化的服务端口名称，之所以不使用符号名称而使用数字是因为在Linux的不同版本中符号名称不太统一本章将会用到一个名为rc．firewall的脚本，这个脚本的位置依赖于Linux调用该脚本的方式而不同。例如，在Red Hat,SUSE系统中，此脚本位于／etc／rc．d目录；但在Debian中，它位于／etc／init．d目录。鉴于用到的shell语法可能不同，在例子中会用Bourne(sh)或Bourne Again(bash)shell的语法来编写。脚本应该以“shebang”开头来调用shell作为脚本的解释程序。脚本中的第一行如下： #!／bin／sh定制购买Linux内核X Window，进一步说，最好不要安装。因为一般这个软件没有太多用处，而且曾被用做攻击服务器的途径。 有人需要从成百上千英里以外的某地方控制一台Linux计算机，和他们一样，我也要从很远的地方启动防火墙脚本，在这种情况下，最好做两项准备：首先，将防火墙脚本开始的一个或几个执行动作的默认策略定为接受，这样做是为了调试脚本，而不是规则语法即是如此。在脚本被调试正确后，再将策略改回为丢弃策略。 其次非常重要的一点是，在从远程执行防火墙脚本corn作业，使防火墙可以在不久后的某一时间停止下来。这样可以有效地允许你启用防火墙并进行一些测试，并且，当存在错误设置的(或者丢失的)规则时，不至于将你锁在计算机外面而无法返回与计算机的连接。 Linux 技巧: 用 cron 和 at 调度作业系统管理员需要在系统负载低的午夜运行作业，或者需要每天或每月运行作业，同时又不愿意牺牲睡眠时间或假期。调度任务的其他原因包括自动执行日常任务或者确保每次都以相同的方式处理任务。本文帮助您使用 cron 和 at 功能调度作业定期运行或在指定的时间运行一次。 以一定的时间间隔运行作业 以一定的时间间隔运行作业需要使用 cron 设施进行管理，它由 crond 守护进程和一组表（描述执行哪些操作和采用什么样的频率）组成。这个守护进程每分钟唤醒一次，并通过检查 crontab 判断需要做什么。用户使用 crontab 命令管理 crontab。crond 守护进程常常是在系统启动时由 init 进程启动的。 为了简单，假设希望定期运行清单 1 所示的命令。这个命