课件：Linux基础教程网络安全.ppt

2．防火墙的建立过程 主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具体过程如下： 8.3.3 包过滤防火墙配置实例 （1）在/etc/rc.d/目录下用touch命令建立空的脚本文件，执行chmod命令添加可执行权限。 # touch /etc/rc.d/filter-firewall # chmod u+x /etc/rc.d/filter-firewall （2）编辑/etc/rc.d/rc.local文件，在末尾加上/etc/rc.d/filter-firewall 以确保开机时能自动执行该脚本。 # echo “/etc/rc.d/filter-firewall” /etc/rc.d/rc.local （3）使用文本编辑器编辑/etc/rc.d/filter-firewall文件，插入如下内容： 8.3.3 包过滤防火墙配置实例 # !/bin/bash # 在屏幕上显示信息 echo “Starting iptables rules…” # 开启内核转发功能 echo “1” /proc/sys/net/ipv4/ip_forward ############################# # 定义变量 IPT=/sbin/iptables WWW-SERVER=51 FTP-SERVER=52 EMAIL-SERVER=53 IP_RANGE=“/24” ############################# 8.3.3 包过滤防火墙配置实例 # 刷新所有的链的规则 $IPT -F ############################## # 首先禁止转发任何包，然后再一步步设置允许通过的包 # 所以首先设置防火墙FORWARD链的策略为DROP $IPT -P FORWARD DROP ############################## 8.3.3 包过滤防火墙配置实例 # 下面设置关于服务器的包过滤规则 # 由于服务器/客户机交互是双向的，所以不仅仅要设置数据包出去的规则，还要设置数据包返回的规则 # 1、下面建立针对来自Internet数据包的过滤规则 # (1)WWW服务 # 服务端口为80，采用tcp或utp协议 # 规则为：eth0=允许目的为内部网WWW服务器的包 $IPT -A FORWORD -p tcp -d $WWW-SERVER -dport www -i eth0 -j ACCEPT # 8.3.3 包过滤防火墙配置实例 # (2)FTP服务 # 服务端口为：命令端口21，数据端口20 # FTP服务采用tcp协议 # 规则为：eth0=允许目的为内部网FTP服务器的包 $IPT -A FORWORD -p tcp -d $FTP-SERVER -dport ftp -i eth0 -j ACCEPT # 8.3.3 包过滤防火墙配置实例 # (3)EMAIL服务 # 包含两个协议，一个是smtp，另一个是pop3 # 出于安全性考虑，通常只提供对内的pop3服务 # 所以在这里我们只考虑针对smtp的安全性问题 # smtp端口25，采用tcp协议 # 规则为：eth0=允许目的为内部网E_mail服务器的smtp请求 $IPT -A FORWORD -p tcp -d $EMAIL-SERVER -dport smtp -i eth0 -j ACCEPT 8.3.3 包过滤防火墙配置实例 # 2、下面设置针对Intranet客户的过滤规则 # 本例中防火墙位于网关的位置，所以主要是防止来自Internet的攻击 # 不能防止来自Intranet的攻击 # 假如网络中的服务器都是基于Linux的，也可以在每一部服务器上设置 # 相关的过滤规则来防止来自Intranet的攻击 # 对于Internet对Intranet客户的返回包，定义如下规则 # # (1)允许Intranet客户采用被动模式访问Internet的FTP服务器 $IPT -A FORWORD -p tcp -s 0/0 -sport ftp-data -d $IP_RANGE -i eth0 -j ACCEPT # 8.3.3 包过滤防火墙配置实例 # (2)接受来自Internet的非连接请求tcp包 $IPT -A FORWORD -p tcp -d /24 ! -syn -i eth0 -j ACCEPT # # (3)接受所有udp包，主要是针对oicq等使用udp的服务 $IPT -A FORWORD -p udp -d /24 -i eth0 -j ACCEPT 8.3.3 包过滤