怎样用ipchains构建防火墙
作者:mobiledu2502856483 | 来源:互联网 | 2017-06-16 23:33
文章标题:怎样用ipchains构建防火墙。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
提示:防火墙是提供网络安全性的重要手段之一,RedHat6.1提供了用于实现过滤型防火墙的工具 包——ipchains。实现防火墙的策略一般有两种:在第一种方式下,首先允许所有的包,然后在禁止有 危险的包通过防火墙;第二种方式则相反,首先禁止所有的包,然后再根据所需要的服务允许特定的包 通过防火墙。相比较而言,第二种方式更能保证网络的安全性。但对于第二种方式,要求使用者知道 Server/Client 交互的基本原理和特定服务所对应的具体端口。本文将从一个具体的实列出发,讨论怎 样采用第二种方式构建企业的防火墙系统。
一、Server/Client的交互原理
首先让我们看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程 序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就 不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建 立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。
举一个具体的例子:假设网络中有一台服务器A(IP地址为a.b.c.1)提供WWW服务,另有客户机 B(a.b.c.4)、C(a.b.c.7)。首先,服务器A运行提供WWW服务的后台程序(比如Apache)并且把该服务绑 定到端口80,也就是说,在端口80进行监听。当B发起一个连接请求时,B将打开一个大于1024的连接端 口(1024内为已定义端口),假设为1037。A在接收到请求后,用80端口与B建立连接以响应B的请求,同 时产生一个80端口绑定的拷贝,继续监听客户端的请求。假如A又接收到C的连接请求(设连接请求端口 为1071),则A在与C建立连接的同时又产生一个80端口绑定的拷贝继续监听客户端的请求。如下所示, 每个连接都是唯一的。
服务器 客户端
连接1:a.b.c.1:80 <=> a.b.c.4:1037
连接2:a.b.c.1:80 <=> a.b.c.7:1071
二、服务端口
每一种特定的服务都有自己特定的端口,一般说来小于1024的端口多为保留端口,或者说是已定义 端口,低端口分配给众所周知的服务(如WWW、FTP等等),从512到1024的端口通常保留给特殊的UNIX TCP/IP应用程序,具体情况请参考/etc/services文件或RFC1700。
三、网络环境
假设网络环境如下:某一单位,租用DDN专线上网,网络拓扑如下:
+--------------+
| 内部网段 | eth1+--------+eth0 DDN
| +------------|firewall|<===============>Internet
| 198.168.80.0 | +--------+
+--------------+
eth0: 198.199.37.254
eth1: 198.168.80.254
以上的IP地址都是Internet上真实的IP,故没有用到IP欺骗。并且我们假设在内部网中存在以下服务器:
dns服务器:dns.yourdomain.com 由firewall兼任
www服务器:www.yourdomain.com 198.168.80.11
ftp服务器:ftp.yourdomain.com 198.168.80.12
bbs服务器:bbs.yourdomain.com 198.168.80.13
email服务器:mail.yourdomain.com 198.168.80.14
下面我们将用ipchains一步一步地来建立我们的包过滤防火墙。
四、实现步骤
说明:有关ipchains的详细命令用法,请参考有关HOWTO文档。在本例中,我们将在eth0和eth1的 input chain设置过滤规则。
1. 在/etc/rc.d/目录下用touch命令建立firewall文件,执行chmod u+x firewll以更改文件属性 ,编辑/etc/rc.d/rc.local文件,在末尾加上 /etc/rc.d/firewall 以确保开机时能自动执行该脚本。
2. 刷新所有的ipchains
#!/bin/sh
echo "Starting ipchains rules..."
#Refresh all chains
/sbin/ipchains -F
3.设置WWW包过滤
说明:WWW端口为80,采用tcp或udp协议。
规则为:eth1=>允许所有来自Intranet的WWW包;eth0=> 仅允许目的为内部网WWW服务器的包。
#Define HTTP packets
#Allow www request packets from Internet clients to www servers
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.11/32 www -i eth0 -j
ACCEPT
/sbin/ipchains -A input -p udp -s 0.0.0.0/0 1024: -d 198.168.80.11/32 www -i eth0 -j
ACCEPT
#Allow response from Intranet www servers to request Internet clients
/sbin/ipchains -A input -p tcp -s 198.168.80.11/32 www -d 0.0.0.0/0 1024: -i eth1 -j
ACCEPT
/sbin/ipchains -A input -p udp -s 198.168.80.11/32 www -d 0.0.0.0/0 1024: -i eth1 -j
ACCEPT
#Allow www request packets from Intranet clients to Internet www servers
/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
/sbin/ipchains -A input -p udp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
#Allow www response packets from Internet www servers to Intranet clients
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 www -d 198.168.80.0/24 1024: -i eth0 -j ACCEPT
/sbin/ipchains -A input -p udp -s 0.0.0.0/0 www -d 198.168.80.0/24 1024: -i eth0 -j ACCEPT
4.设置ftp包过滤
说明:ftp端口为21,ftp-data端口为20,均采用tcp协议。
规则为:eth1=>允许所有来自Intranet 的ftp、ftp-data包;eth0=>仅允许目的为内部网ftp服务器的包。
#Define FTP packets
#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.12/32 ftp -i eth0 -j
ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.12/32 ftp-data -i eth0 -j
ACCEPT
#Allow ftp response packets from Intranet ftp server to Internet clients
/sbin/ipchains -A input -p tcp -s 198.168.80.12/32 ftp -d 0.0.0.0/0 1024: -i eth1 -j
ACCEPT
/sbin/ipchains -A input -p tcp -s 198.168.80.12/32 ftp-data -d 0.0.0.0/0 1024: -i eth1 -j
ACCEPT
#Allow ftp request packets from Intranet clients to Internet ftp servers
/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 ftp -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 ftp-data -i eth1 -j
ACCEPT
#Allow ftp response packets from Internet ftp servers to Intranet clients
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 ftp -d 198.168.80.0/24 1024: -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 ftp-data -d 198.168.80.0/24 1024: -i eth0 -j
ACCEPT
5.设置telnet包过滤
说明:telnet端口为21,采用tcp协议。
规则为:eth1=>允许所有来自Intranet的telnet包; eth0=>仅允许目的为bbs服务器的包;为了提高网络安全性,禁止所有对firewall的telnet请求。
#Define telnet packets
#Allow telnet request packets from Internet clients to Intranet bbs server
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 198.168.80.13/32 telnet -i eth0 -j ACCEPT
#Allow telnet response packets from bbs server to Internet clients
/sbin/ipchains -A input -p tcp -s 198.168.80.13/32 telnet -d 0.0.0.0/0 1024: -i eth1 -j ACCEPT
#Allow telnet request packets from Intranet clients to Internet telnet servers
/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1024: -d 0.0.0.0/0 telnet -i eth1 -j
ACCEPT
#Allow telent response packets from Internet telnet servers to Intranet clients
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 telnet -d 198.168.80.0/24 1024: -i eth0 -j
ACCEPT
6.设置smtp包过滤
说明:smtp端口为21,采用tcp协议。
规则为:eth1=>允许所有来自Intranet的smtp包;eth0=>仅允 许目的为email服务器的smtp请求。
#Define smtp packets
#Allow smtp request packets from Internet smtp servers to Intranet email server
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -
推荐阅读
-
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
-
这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ...
[详细]
蜡笔小新 2023-12-14 16:19:10
-
-
本文介绍了如何提高PHP编程技能的方法,推荐了一些高级教程。学习任何一种编程语言都需要长期的坚持和不懈的努力,本文提醒读者要有足够的耐心和时间投入。通过实践操作学习,可以更好地理解和掌握PHP语言的特异性,特别是单引号和双引号的用法。同时,本文也指出了只走马观花看整体而不深入学习的学习方式无法真正掌握这门语言,建议读者要从整体来考虑局部,培养大局观。最后,本文提醒读者完成一个像模像样的网站需要付出更多的努力和实践。 ...
[详细]
蜡笔小新 2023-12-11 18:38:37
-
本文讨论了目录浏览漏洞与目录遍历漏洞的危害,包括网站结构暴露、隐秘文件访问等。同时介绍了检测方法,如使用漏洞扫描器和搜索关键词。最后提供了针对常见中间件的修复方式,包括关闭目录浏览功能。对于保护网站安全具有一定的参考价值。 ...
[详细]
蜡笔小新 2023-12-09 23:30:30
-
UDP:userDatagramprotocol用户数据报协议无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETFRFC76 ...
[详细]
蜡笔小新 2023-10-17 15:16:43
-
SQLServer2008到底需要使用哪些端口?-下面就来介绍下SQLServer2008中使用的端口有哪些: 首先,最常用最常见的就是1433端口。这个是数据库引擎的端口,如果 ...
[详细]
蜡笔小新 2023-10-17 14:12:12
-
本文介绍了如何通过修改织梦DedeCms源代码来实现全站伪静态,以提高管理和SEO效果。全站伪静态可以避免重复URL的问题,同时通过使用mod_rewrite伪静态模块和.htaccess正则表达式,可以更好地适应搜索引擎的需求。文章还提到了一些相关的技术和工具,如Ubuntu、qt编程、tomcat端口、爬虫、php request根目录等。 ...
[详细]
蜡笔小新 2023-12-14 19:45:47
-
本文介绍了在开发Android新闻App时,搭建本地服务器的步骤。通过使用XAMPP软件,可以一键式搭建起开发环境,包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表,并设置相应的属性。最后,给出了创建new表的SQL语句。这个教程适合初学者参考。 ...
[详细]
蜡笔小新 2023-12-14 17:15:19
-
本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ...
[详细]
蜡笔小新 2023-12-13 13:23:48
-
本文介绍了PHP开发中常用的组合工具和开发所需的工具。对于数据分析软件,包括Excel、hihidata、SPSS、SAS、MARLAB、Eview以及各种BI与报表工具等。同时还介绍了PHP开发所需的PHP MySQL Apache集成环境,包括推荐的AppServ等版本。 ...
[详细]
蜡笔小新 2023-12-09 17:36:44
-
三、寻找恶意IP并用iptables禁止掉找出恶意连接你的服务器80端口的IP,直接用iptables来drop掉它;这里建议写脚本来运行, ...
[详细]
蜡笔小新 2023-10-17 13:01:54
-
市场最糟糕的时候已经过去,以太坊合并前不太会看到新的低点;但仍需来自关注宏观市场的不确定风险。撰文:Ansem ...
[详细]
蜡笔小新 2023-10-17 11:26:43
-
IP、ARP、TCP、UDP、ICMP、DNS、路由协议、DHCP协议的缺陷,容易受到的攻击,以及防御措施1、IP协议1.1、介绍: ...
[详细]
蜡笔小新 2023-10-17 11:18:55
-
1、概述首先和大家一起回顾一下Java消息服务,在我之前的博客《Java消息队列-JMS概述》中,我为大家分析了:然后在另一篇博客《Java消息队列-ActiveMq实战》中 ...
[详细]
蜡笔小新 2023-10-17 10:34:08
-
文章目录前言一、域名系统概述二、因特网的域名结构三、域名服务器1.根域名服务器2.顶级域名服务器(TLD,top-leveldomain)3.权威(Authoritative)域名 ...
[详细]
蜡笔小新 2023-10-17 02:59:43
-
mobiledu2502856483
这个家伙很懒,什么也没留下!