iptables防火墙示例(filter,nat,forward)
<DIV><FONT size=4 face=黑体><STRONG>策略需求:</STRONG></FONT></DIV><DIV> 定义一个有效的防火墙配置需求,该配置针对的是几个由客户端机器和两个服务器构成的网络。服务器(一个web服务器和一个DNS服务器)必须可以从外部网络访问。内部网络的系统可通过防火墙向外部服务器发起下列类型的通信:</DIV>
<UL>
<LI>域名系统(DNS)查询</LI>
<LI>文件传输协议(FTP)传输</LI>
<LI>网络时间协议(NTP)查询</LI>
<LI>安全Shell(SSH)会话</LI>
<LI>简单邮件传输协议(SMTP)会话</LI>
<LI>通过HTTP/HTTPS/进行Web会话</LI>
<LI>whois查询</LI></UL>
<DIV> 除了允许访问上面列出的服务以外,所有其他通信都应被阻止。从内部网络或直接从防火墙上发起的会话都应该被iptables进行状态跟踪(那些不符合有效状态定义的数据包应迟早被记录并丢弃),防火墙还应提供NAT服务。</DIV>
<DIV> 此外,防火墙还应对从内部网络转发给任一外部IP地址的伪造数据库进行控制。</DIV>
<UL>
<LI>防火墙本身必须允许内部网络的用户通过SSH进行访问,但不允许用户从任何其他地方访问,除非防火墙上运行一个用于验证的fwknop(端口碰撞)。SSH应该是防火墙上运行的唯一一个服务器进程。</LI>
<LI>防火墙应接受来自内部和外部网络的ICMP回应请求,但来自任何源IP地址的非回应请求的其它ICMP数据包应被丢弃。</LI>
<LI>最后,防火墙应配置一个默认的日志记录和丢弃规则,以使任何离群的数据包,端口扫描或其他没有明确允许的连接企图被记录并丢弃。</LI></UL>
<DIV> 为了简化建立iptables策略的任务,假设只有一个内部网络,并且它使用的是一个不可路由的网络地址192.168.10.0,具有C类子网掩码255.255.255.0(或使用CIDR表示法/24)。</DIV>
<DIV> 防火墙上的内部网络接口(见下图)是eth1,IP地址为192.168.10.1,所有内部主机都以这个地址为它们的默认网关。这使得内部系统发往192.168.10.0/24子网以外系统的所有数据包都必须路由经过防火墙。防火墙上的外部接口是eth0,为保持网络的不可知性,指定这个外部接口的IP地址为71.157.X.X。</DIV>
<DIV> 下图中列出了两个恶意系统,一个在内部网络中(192.168.10.200,主机名int_scanner),另一个在外部网络中(144.202.X.X,主机名ext_scanner)。</DIV>
<DIV>OS: CentOS 5.4 <BR>Kernel: 2.6.18-164.el5</DIV>
<DIV>Iptables : 1.3.5 - 1.3.7</DIV>
<DIV>脚本内容详情见附件: <A href="http://blog.chinaunix.nethttp://blog.chinaunix.net/attachment/attach/16/97/44/6016974460e1dcb8861fa5eadd6658f1819db1f9c2.txt" target=_blank><IMG border=0 align=absMiddle src="http://blog.chinaunix.net/blog/image/attachicons/text.gif"> fw.sh.txt </A> <A href="http://blog.chinaunix.nethttp://blog.chinaunix.net/attachment/201110/5/16974460_1317805172voEt.png" target=_blank><IMG border=0 src="http://blog.chinaunix.nethttp://blog.chinaunix.net/attachment/201110/5/16974460_1317805172voEt.png" ; .load="imgResize(this, 650);"></A></DIV>
页:
[1]