防火墙的配置要求如下:
1、
拒绝所有外面传入的、向外的和转发的包。
2、
允许所有外传的
TCP
连接:我们这里允许的如
web/telnet/ssh/ftp
等外传。
3、
允许外发的
TCP
连接的返回封包通过防火墙,需检查封包的状态。
4、
允许向外发送
UDP
连接在端口
53
上指定域名服务器,但只允许伟入的
DNS
封包进入内部的域名服务器
chivas
。
5、
创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则:来自专网的向因特网传递的封包需从内部接口
eth0
向外部接口
eth1
转发。返回的封包以相反方向发送回来。
6、
在内核中启用
IP
转发功能。
=========================================================================
构建一个基本的防火墙
------------------------------------
[root@linux-tys root]# sysctl –p -----
设置
IP
转发
[root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward -----
确认
IP
转发,可以见到结果为
1
[root@lg root]# iptables –F -----
清除预设表
filter
中所有规则链的规则
[root@lg root]# iptables –X -----
清除预设表
filter
中自定义规则链的规则
[root@lg root]# iptables –F –t mangle -----
清除表
mangle
中所有规则链的规则
[root@lg root]# iptables –t mangle -X -----
清除表
mangle
中所有自定义规则链的规则
[root@lg root]# iptables –F –t nat -----
清除表
nat
中所有规则链的规则
[root@lg root]# iptables –t nat -X -----
清除表
nat
中所有自定义规则链的规则
[root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT
[root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
[root@linux-tys root]# iptables -P INPUT DROP
[root@linux-tys root]# iptables -P OUTPUT DROP
[root@linux-tys root]# iptables -P FORWARD DROP
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ----
此两行为在回送接口上允许内部网络流量
[root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW
-----
此规则设置新建和已建的
TCP
连接的封包将会通过
eth1
向外转发,不指明源和目标地址代表任何地址
[root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT --
这条允许来自专网到达专网接口的所有流量,下面一条规则则是检查到达外部网络接口的每个封包,属于已有连接通过
[root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
以下配置规则使之从一个网络接口转发到另一个:
第一条规则接收所有来自专网的封包,并被转发到外网卡
eth1
上;第二条规则到达外部网络接口
eth1
上的封包,如属于已有连接,则转发到内网。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
最后建立
NAT
规则,
POSTROUTING
表封包送出时需要翻译,该规则设置为对流出外部网络接口
eth1
的封包起作用,并将源地址变为
eth1
的地址。
[root@linux-tys root]# modprobe iptable_nat ----
加载
NAT
模块
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
备份和恢复
1
、备份防火墙设置
:
[root@lg root]# iptables-save>iptablesrules.txt
本次设为
iptablesdefault.txt
2
、删除防火墙设置
:
[root@lg root]# iptables
–
F
删除所有的链。
3
、恢复防火墙设置
:
[root@lg root]# iptables-restore iptablesrules.txt
使防火墙自动化
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---
保存规则到
/etc/syscofig/iptables
中,并自启动
[root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----
保存后则可用这个命令来控制其状态
===============================================================================
使用自定义链整固防火墙
------------------------------------------
基本规则并不检查除
TCP
连接状态以外的事项,可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性,更为复杂的规则集可指定哪一个
TCP
端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。
修改后的防火墙配置如下:
1
、首先也是启用转发,清空所有规则,设默认为
DROP
,在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是
SSH
的访问要保留。
2
、创建一个
PRIV
链来处理来自专用网络的流量。
这个链传递已有返回的封包,进入防火墙的
SSH
封包,以及目的地为因特网的
FTP
、
SSH
和
HTTP
封包,然后将
INPUT
链规则导向到这一个链上。
[root@linux-tys root]# iptables -N PRIV
[root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp –s 192.168.1.0/24 –d 192.168.1.254 --dport 22 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p udp –d 0/0 --dport 53 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV
[root@linux-tys root]# iptables -A OUTPUT –o eth0 -j PRIV
3
、创建一个链来处理来自
DMZ
(如果使用的话)以及外部网络到达的流量。
这个链丢弃来自专用网络和
DMZ
网源地址的所有封包,这是因为,第一,前者是欺骗地址,第二,根据策略,不允许来自
DMZ
的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。
[root@linux-tys root]# iptables -N EXT
[root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT
[root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --
配置
INPUT
链,使之将流量导向到
EXT
[root@linux-tys root]# iptables -A OUTPUT –o eth1 -j EXT
4
、修改
FORWARD
链以创建网关功能。
自内网接口来的新的或已有的连接被转发到外部接口上。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
5
、建立
SNAT
规则。
对源地址起作用转换为
192.168.32.254
。此步后即可实现网关防火墙功能了。
[root@linux-tys root]# modprobe iptable_nat
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
6
、配置
OUTPUT
链。
使之允许来自防火墙服务的封包传到专用网络及因特网上。
[root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
[root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
7、
检查防火墙规则并添加一条规则然后保存规则
[root@linux-tys root]# iptables -L –v ---- -v
将显示网络接口的附加信息
[root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT
[root@linux-tys root]# iptables-save > custom.txt
或作下面命令的保存
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---
保存规则到
/etc/syscofig/iptables
中,并自启动
本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/68584
,如需转载请自行联系原作者
