当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 防火墙的技术与应用-选购和应用(12)

安全产品
802.11n标准对无线网络安全的影响
金山网盾-免费互联网浏览网页安全防护软件
Morro即Microsoft Security Essentials
免费安全软件“超级巡警4” 实用技巧曝光
卡巴斯基高效应对挂马犯罪
Windows Server 2003 防火墙
防火墙封阻应用攻击的八项技术(1)
防火墙封阻应用攻击的八项技术(2)
因地制宜配置三种防火墙方案(1)
因地制宜配置三种防火墙方案(2)
随心订制linux透明防火墙
谈网络防火墙和安全问题(1)
谈网络防火墙和安全问题(2)
谈网络防火墙和安全问题(3)
谈网络防火墙和安全问题(4)
通过防火墙堵住VPN安全漏洞
你知道多少?防火墙安装终极攻略
防火墙技术发展的三个发展趋势
防火墙入门:什么是防火墙
深入浅出谈防火墙

安全产品 中的 防火墙的技术与应用-选购和应用(12)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 32 ::
收藏到网摘: n/a

Linux下架设防火墙要领(2)

    

有关命令的详细用法请参考有关HOWTO文档。

  现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为:

  +--------------+

  | 内部网段 | 192.168.1.1 ISDN、PSDN

  | +------------|firewall|$#@60;===============$#@62;Internet

  | 192.168.1.0 | +--------+

  +-------------- +

  配置ipchains防火墙规则一般有两种方式:

  1) 首先允许所有的包,然后在禁止有危险的包通过防火墙;

  2) 首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。

  相比较而言,第二种方式的做法更为安全。

  下面是我的rc.ipfwadm的文件内容:

  /sbin/depmod - a

  /*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/

  #/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp

  /*加载ip伪装的ftp模块*/

  #/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

  /*加载ip伪装的irc模块*/

  #/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

  #/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user

  #/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

  /sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq*

  /*自动加载ip伪装的相关模块*/

  ipchains - F

  /*刷新所有的ipchains规则*/

  ipchains -P forward DENY

  /*拒绝转发所有的ip包*/

  /*下面允许特定的包通过*/

  /*开设权限比较高的主机*/

  ipchains -A forward -s 192.168.1.10/32 -j MASQ

  /*允许内部的192.168.1.10主机不受限制访问。比如总经理*/

  ipchains -A forward -s 192.168.1.12/32 -j MASQ

  /*允许内部的192.168.1.12主机不受限制访问。比如系统管理员,在依次添加*/

  ipchains -A forward -s 192.168.1.41/32 -j MASQ

  /*for example linuxbird的主机地址:192.168.1.41*/

  /*某些机器,因需要不能对外连接*/

  ipchains -A forward -s 192.168.1.3/32 -j DENY

  /*此机器为内部文档专用机,不能访问外部*/

  /*设置内部普通用户能访问的站点*/

  ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS

  ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS

  /*这是上网的DNS服务器,本人用的是福州电信局的DNS*/

  /*以下是普通用户能访问的站点,根据需要可以对其增删改*/

  ipchains -A forward -d 202.101.98.50/32 -j MASQ

  /* public.fz.fj.cn*/

  ipchains -A forward -d 202.101.98.60/32 -j MASQ

  /* pub5.fz.fj.cn*/

  ipchains -A forward -d 202.96.44.14/24 -j MASQ

  /*freemail.263.net*/

  ipchains -A forward -d 202.99.11.120/32 -j MASQ

  /*www.linuxaid.com.cn*/

  ipchains -A forward -d 205.227.44.44/24 -j MASQ

  /* www.oracle.com*/

  ipchains -A forward -d 205.227.44.46/32 -j MASQ

  /* lliance.oracle.com*/

  #ipchains -A forward -d 205.227.44.237/32 -j MASQ

  /* support.oracle.com*/

  ipchains -A forward -d 209.246.5.38/24 -j MASQ

  /* technet.oracle.com*/

  ipchains -A forward -d 137.69.200.8/32 -j MASQ

  /* www.legato.com*/

  ipchains -A forward -d 202.96.125.102/32 -j MASQ

  /*www.188.net*/

  ipchains -A forward -d 207.105.83.51/32 -j MASQ

  /* www.borland.com*/

  ipchains -A forward -d 207.46.131.30/24 -j MASQ

  /* www.microsoft.com*/

  ipchains -A forward -d 207.46.130.30/24 -j MASQ

  /* www.microsoft.com*/

  ipchains -A forward -