| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

防火墙

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·ARP欺骗技术
·防火墙软件Netfilter之包过滤技术
·使用iptable实现动态防火墙
·用iptales实现包过滤型防火墙(一)
·企业网中用Linux作为路由器
·防火墙软件Netfilter之NAT技术
·基于Linux的路由器和防火墙配置
·一个实用的防火墙配置范例
·用iptales实现包过滤型防火墙(二)
·用ipchains构建防火墙和IP伪装

站内搜索

用ipchains构建防火墙和IP伪装

    Linux 2.2内核用ipchains代替了2.0内核中的ipfwadm,在Redhat 6.0/6.1的版本中,ipfwadm不能再用了。本文旨在介绍如何设置一个基本的防火墙系统和IP伪装,允许内部用户用IP伪装上网,ipchains较之以前的ipfwadm语法变动很大,如你想了解更多的命令和语法,可以参考一篇网友翻译的中文ipchains howto (http://www.hncd.gov.cn/linux) . 也可运行ipchains --help获得帮助。另外,本文的设置主要针对专线用户基本的防火墙和IP伪装设置,也可供拨号用户参考。
思路:
    一般而言,实现Linux防火墙功能有两种策略,一种是首先全面禁止所有的输入/输出/转发包,然后根据需要逐步打开所要求的各项服务,这种方式最安全,但必须全面考虑到自己所要使用的各项服务功能,不能有任何遗漏,如果你对要实现的某种服务和功能不能清楚地知道应该打开哪些服务和端口,那会比较麻烦;第二种方式是首先默认打开所有的输入/输出包,(对转发包,不必打开,因为内部网段用保留地址,不能直接与互联网交换数据,我们是通过用IP伪装的方式透明地进行交换数据的),然后禁止某些危险包,IP欺骗包,广播包,ICMP服务类型攻击等,对于应用层服务象http,sendmail,pop3,ftp等,若不打算提供某些服务,就不要启动它,或者根本就不要安装,这种方式虽然没有第一种方式更安全,但是比较方便,容易配置,用户不必过多地了解该如何打开一种服务(如FTP)所需要执行的ipchains命令细节就能配置一个比较安全的防火墙系统。
    本文就采用第二种方式配置一个基本的防火墙系统,我的内部网段使用192.168.11.0,eth0为外部网段网卡接口,eth1为内部网段网卡接口。
实现:
1. 安装完系统后,在/etc/rc.d/目录下创建一个script叫ipchains.rules(执行#chmod u+x ipchains.rules确保为可执行文件)然后加一行/etc/rc.d/ipchains.rules到/etc/rc.d/rc.local中,以确保每次机器重新启动后即运行所设定的各项防火墙规则。

下面为该文件内容:
--------------------------
#!/bin/sh
echo "Starting ipchains firewall rules..."
# refresh all firewall rules
/sbin/ipchains -F forward
/sbin/ipchains -F input
/sbin/ipchains -F output
# setup default firewall rules
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P output ACCEPT
external_interface=a.b.c.d
# setup Loopback interface
/sbin/ipchains -A input -j ACCEPT -i lo
/sbin/ipchains -A output -j ACCEPT -i lo
# disabling IP spoofing
/sbin/ipchains -A input -j DENY -i eth0 -s 192.168.0.0/16
/sbin/ipchains -A input -j DENY -i eth0 -d 192.168.0.0/16
/sbin/ipchains -A output -j DENY -i eth0 -s 192.168.0.0/16
/sbin/ipchains -A output -j DENY -i eth0 -d 192.168.0.0/16
/sbin/ipchains -A input -j DENY -i eth0 -s $external_interface/32
/sbin/ipchains -A output -j DENY -i eth0 -d $external_interface/32
#refuse packets claiming to be to or from the loopback interface
/sbin/ipchains -A input -j DENY -i eth0 -s 127.0.0.0/8
/sbin/ipchains -A input -j DENY -i eth0 -d 127.0.0.0/8
/sbin/ipchains -A output -j DENY -i eth0 -s 127.0.0.0/8
/sbin/ipchains -A output -j DENY -i eth0 -d 127.0.0.0/8
#refuse broadcast address source packets
/sbin/ipchains -A input -j DENY -i eth0 -s 255.255.255.255
/sbin/ipchains -A input -j DENY -i eth0 -d 0.0.0.0
#refuse multicast/anycast/broadcast address
/sbin/ipchains -A input -j DENY -i eth0 -s 240.0.0.0/3
#forwarding all internal traffic
/sbin/ipchains -A forward -j ACCEPT -i eth1 -s 192.168.11.0/24 -d 192.168.11
.0/24
#setup IP Masquerading rules
echo "1" > /proc/sys/net/ipv4/ip_forward
注:你也可以通过设置/etc/sysconfig/network文件启动IP转发,改那一行
FORWARD_IPV4=true即可,这样就不必设置上面的echo行了。
# add modules for ftp, cuseeme, irc, real audio, etc...
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
#starting IP masquerading
/sbin/ipchains -A forward -j MASQ -i eth0 -s 192.168.11.0/24
注:如果你仅仅希望让部分用户进行IP伪装,你也可以个别设置,如
/sbin/ipchains -A forward -j MASQ -i eth0 -s 192.168.11.3/32
/sbin/ipchains -A forward -j MASQ -i eth0 -s 192.168.11.23/32
---------------------------------
其它防火墙安全事项:
上面的设置启动了一个基本的防火墙系统,禁止IP欺骗,广播包,但对于一个完整的防火墙系统,仍然要注意下面几点:
1. 设置/etc/inetd.conf,禁止所有不需要的服务,象所有的R命令,finger,talk等,一般而言,仅保留ftp,telnet服务便于内部维护用途,同时设置/etc/hosts.allow和/etc/hosts.deny,仅允许内部某些管理用户可以telnet/ftp到该防火墙,当然,更安全的办法是禁止所有的inetd服务,对ftp,telnet,安装SSH,用SSH/scp代替telnet和ftp。
2. 启用影子口令(shadow password),简单的两个命令是pwconv(启用影子口令)和pwunconv(恢复原状态),Redhat 6的版本默认安装时已经启动了shadow password,这样使得远程用户获得根密码更为困难,因为影子口令使用/etc/shadow 存储口令文件,该文件仅仅被root可读。
3.运行ntsysv检查,看是否启动了不需要的后台程序,记住:仅仅启动那些你希望提供的服务后台程序,最大限度地确保安全。
4.创建尽可能少的用户帐号,不断升级有安全漏洞的软件包。





相关文章
  • 防火墙软件Netfilter之包过滤技术
  • 防火墙软件Netfilter之NAT技术
  • 防火墙技术综述
  • 防火墙分析报告
  • 路由器基础
  • 简易防火墙建置与流量统计之5
  • 简易防火墙建置与流量统计之4
  • 简易防火墙建置与流量统计之3
  • 简易防火墙建置与流量统计之2
  • 简易防火墙建置与流量统计之1
  • 用Linux防火墙构建软路由
  • 用Linux+IPChains代替Windows+WinGate
  • 用iptales实现包过滤型防火墙(二)
  • 用iptales实现包过滤型防火墙(一)
  • 用iptables实现NAT
  • 构建基于ipchains的Linux防火墙
  • 教你将Linux配置为代理防火墙
  • 恢复IpTables的默认设置(Script)
  • 怎样用ipchains构建防火墙
  • 局域网通过LINUX主机上网手记
  • 相关软件




    月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
    电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
    音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

    月光软件站·版权所有