| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

防火墙

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·ARP欺骗技术
·防火墙软件Netfilter之包过滤技术
·使用iptable实现动态防火墙
·用iptales实现包过滤型防火墙(一)
·企业网中用Linux作为路由器
·防火墙软件Netfilter之NAT技术
·基于Linux的路由器和防火墙配置
·一个实用的防火墙配置范例
·用iptales实现包过滤型防火墙(二)
·用ipchains构建防火墙和IP伪装

站内搜索

使用IPCHAINS建立Linux防火墙

  虽然Linux操作系统具有很多优点,其安全性也较高,但是你不应当由此产生一种虚假的安全感,因为你的Linux系统的安全性仍旧可能受到损害。现在就让我们来看看如何通过使用IP链(IPchains)来建立Linux系统的防火墙,保护你的系统不受侵害。

  先假设你已经具备了一些关于因特网的基本知识。应当说,熟悉像IP地址、TCP端口和网络传输数据之类的词汇是很有用处的。对防火墙有一个大概的了解也是十分有必要的。

  ■命令:
  我们需要确立起一系列的规则,这样IP链才能进入来来往往的网络路径。每一条规则都被置于三链之一,这三个链分别为:存放输入数据的输入链、存放输出数据的输出链和传输链。

  每增加一条规则,都要从IP链开始,并且要增加下面的某些或全部步骤。附加(Append)、删除(Delete)、插入(Insert)和替换(Replace),这些命令通常是跟在起始的IP链命令之后,并且指示程序应当把规则命令添加在哪条链上以及如何添加。添加时,以-A、-D、-I,或者-R开始,这些字母的后面再加上链的名称(输入链或输出链)。

  当你要使用插入命令时,必须在要加入该命令的位置上,在链的名称后面,具体指定行号。

  在使用替换命令时,需要指定被替换的行号,使用删除命令的时候,也必须指定删除的行号。

  在使用删除选项时,无须在行号后面再输入什么别的内容。你只要键入ipchains -L,就可以发现命令所作用的行号。

  ■协议(Protocol):
  在这里你要针对每一条规则命令具体地指明某种协议。在大多数情形下,使用TCP/IP协议。

  也有可能你不想让你的计算机对另一台计算机发出的Ping信号做出反应。为了做到这一点,需要具体指定ICMP(互联网控制报文协议)。在具体地指定某个协议的时候,要使用-p命令,如:-p icmp。

  ■源(Source):
  源可以确定从某个特定的IP地址而来的路径以及使用-s命令的端口。如果你知道一个标准的IP地址,就可以直接使用IP地址,或者干脆指定一个域名(比如www.ccidnet.com)。假如你想指定任意一个地址,不妨用0.0.0.0/0。

  我们可以在IP地址的后面用数字来指定某一个端口(比如110),也可以用服务器的名称(pop3)来指定某一个端口。使用冒号可以将两个端口数字分隔开,这样就能指定一连串的端口。例如:

  -s mail.mailserver.com pop3

  -s 127.0.0.1 139:164

  ■目的(Destination):
  用法与源地址是一样的,只要指定目的地址和端口即可。

  ■跳转(Jump):
  我们需要了解的最后一个选项是-j命令。这个命令告诉防火墙,如果一项规则命令与正在输入的数据相匹配时,防火墙应该采取什么步骤。在大多数情况下,这种步骤就是接受或拒绝。举个例子吧,假如你想拒绝某组与命令相符的数据时,防火墙就跳转至拒绝。如果一组数据不符合某条命令规则,该数据就会往前进入下一个命令。如果没有任何规则符合这组数据的话,数据就会在缺省的状态下被拒绝。

  当然还有一些其它的选项和命令能够与IP链的命令一起使用。假如你想深入了解更多的信息,可以在命令行栏键入ipchains -h。

  建立防火墙
  建立Linux系统的防火墙的核心部分就是在你接近你想要访问的服务器的同时,又要阻止其它服务器接近你的系统。这里我们提出一些忠告。

  首先,你在建立你的防火墙时尽量对所有的“拒绝”规则使用-I命令。当某条规则将一组数据挡在外面的时候,就会产生一行信息,加入到你的核心程序信息记录中(变量/记录/核心程序/信息)。你读一读这个文件就能明白为什么一组数据会被挡在外面。一条记录详细说明了被采取的步骤、能解释某条规则源目的链、源地址和端口以及目的地址和端口,因而你能运用这些信息来调整防火墙。可以按照你想得到的方式拥有任何东西,这时就不再需要-I命令了。

  其次,建立防火墙可以挡住所有流入的Syn数据。Syn数据是用于启动链接的数据组,但它们不应该出现在大部分的桌面系统上。可以这样运用-y命令:

  ipchains -I input 1 -p tcp -y -j DENY

  你还可用下面这条命令挡住ICMP数据:

  ipchains -I input 2 -p icmp -j DENY

  把这两条规则放在最前面,就能保证系统不会随便接收这些数据。下一步,该挡住像ftp、telnet、smtp和pop3之类的一些常用的服务器端口:

  ipchains - A input -p tcp - s 0.0.0.0/0 ftp DENY

  ipchains - A input -p tcp - s 0.0.0.0/0 telnet DENY

  ipchains - A input -p tcp - s 0.0.0.0/0 smtp DENY

  ipchains - A input -p tcp - s 0.0.0.0/0 pop3 DENY

  ipchains - A input -p tcp - s 0.0.0.0/0 nntp DENY

  如果在连接发送邮件的服务器时出现问题,可以在smtp 和pop3 DENY的规则前面插入一条规则,这样便能使所谓的DENY规则失去作用。不过要保证这条规则的明确性,因为这样才能使得DENY规则失效。通常来说,明确地指明一个IP地址是个不错的做法:

  ipchains - I 3 input - 1 - p tcp - s mail.mailserver.com pop3 - j ACCEPT

  ipchains - I 4 input - 1 - p tcp - s mail.mailserver.com smtp - j ACCEPT

  可以用你发送邮件的服务器的地址替代域名“mail.mailserver.com”,对于一个新的服务器或者任何一个链接有困难的FTP网址,都可以这样做。

  虽然这些规则是一些基本性的,但有助于建立一个安全有效的防火墙。我们可以在像Gibson Research Center (http://www.grc.com) 和DSL Reports (http://www.secure-me.net/) 之类的网站检测防火墙的安全和有效性。上面两个网站都可以免费提供关于因特网的端口查询。一旦找到了有用的规则,就用ipchain-save命令将这些规则保存到某个文件中。

  当重新启动系统的时候就可以运用这个保存了规则的文件。键入ipchains-save>/etc/ipchains.rules就能保存防火墙设置数据。在重新启动你的系统后保持有关防火墙的设置时,请键入ipchains-restore>/etc/ipchains.rules 。当你的系统断电或者重新启动时,Linux系统不会自动保存这些设置数据。





相关文章
  • 防火墙软件Netfilter之包过滤技术
  • 防火墙软件Netfilter之NAT技术
  • 防火墙技术综述
  • 防火墙分析报告
  • 路由器基础
  • 简易防火墙建置与流量统计之5
  • 简易防火墙建置与流量统计之4
  • 简易防火墙建置与流量统计之3
  • 简易防火墙建置与流量统计之2
  • 简易防火墙建置与流量统计之1
  • 用Linux防火墙构建软路由
  • 用Linux+IPChains代替Windows+WinGate
  • 用iptales实现包过滤型防火墙(二)
  • 用iptales实现包过滤型防火墙(一)
  • 用iptables实现NAT
  • 用ipchains构建防火墙和IP伪装
  • 构建基于ipchains的Linux防火墙
  • 教你将Linux配置为代理防火墙
  • 恢复IpTables的默认设置(Script)
  • 怎样用ipchains构建防火墙
  • 相关软件




    月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
    电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
    音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

    月光软件站·版权所有