solaris 下使用IP Filter 进行系统安全实施方案

落伍者

情况：
一台solaris服务器,作web,mail,ftp,mysql,ssh服务,这种情况产生在很多系统上面，所以放在一起做讨论。
我整理规则如下，请大家帮我指正
开放：80,21,22,3306,25,110口
solaris需要使用ftp连接至一台远程FTP进行早上的系统自动备份
服务器IP为：218.108.22.251
目标：
1、仅开放上面提到的几个口，并不影响系统运行。
2、防止常见攻击
3、重要安全攻击做日志记录


#使得系统内部服务正常工作
pass out quick on lo0
pass in quick on lo0
#eri0:为solaris网卡设备,开放系统需要的端口
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 80 flags S keep state
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 21 flags S keep state
pass in quick proto tcp from any to 218.108.22.251/32 port 15000 >;< 20000 flags S keep state //ftp被动状态下的端口范围
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 25 flags S keep state
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 110 flags S keep state
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 3306 flags S keep state
pass in quick on eri0 proto tcp from any to 218.108.22.251/32 port = 22 flags S keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 21 keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 25 keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 110 keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 22 keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 80 keep state
pass out quick on eri0 proto tcp from 218.108.22.251/32 to any port 3306 keep state
pass out quick on eri0 proto tcp from any to any flags S keep state
#去除保留IP地址的访问
block in quick on eri0 from 192.168.0.0/16 to any
block in quick on eri0 from 172.16.0.0/12 to any
block in quick on eri0 from 10.0.0.0/8 to any
block in quick on eri0 from 127.0.0.0/8 to any
block in quick on eri0 from 0.0.0.0/8 to any
block in quick on eri0 from 169.254.0.0/16 to any
block in quick on eri0 from 192.0.2.0/24 to any
block in quick on eri0 from 204.152.64.0/23 to any
block in quick on eri0 from 224.0.0.0/3 to any
block in quick on eri0 from 20.20.20.0/24 to any
#关闭向保留IP发送数据
block out quick on eri0 from any to 192.168.0.0/16
block out quick on eri0 from any to 172.16.0.0/12
block out quick on eri0 from any to 10.0.0.0/8
block out quick on eri0 from any to 0.0.0.0/8
block out quick on eri0 from any to 127.0.0.0/8
block out quick on eri0 from any to 169.254.0.0/16
block out quick on eri0 from any to 192.0.2.0/24
block out quick on eri0 from any to 204.152.64.0/23
block out quick on eri0 from any to 224.0.0.0/3
#允许ping tracerouter
pass in quick on eri0 proto icmp from any to 218.108.22.251/32 icmp-type 0
pass in quick on eri0 proto icmp from any to 218.108.22.251/32 icmp-type 11
pass in all
#防止因为加了防火墙后减少了ttl值
block in quick on eri0 fastroute proto udp from any to any port 33434 >;< 33465
#去所有quick 外的接入和外出
block in all
block out all

#solaris下需要设置的网络参数
ndd -set /dev/ip ip_forwarding 1
ndd -set /dev/tcp tcp_smallest_anon_port 25000
ndd -set /dev/tcp tcp_largest_anon_port 65535
ndd -set /dev/ip ip_forward_directed_broadcasts 0
ndd -set /dev/ip ip_forward_src_routed 0
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
请讨论增加、修改规则。谢谢!

落伍者

有其他防火墙推荐否？solaris平台下。

gougou9

看完楼主的帖子..
我的心情竟是久久不能平复..
正如老子所云:大音希声,大象希形.
我现在终于明白我缺乏的是什么了..
正是楼主那种对真理的执着追求和楼主那种对理想的艰苦实践所产生的厚重感..
面对楼主的帖子..
我震惊得几乎不能动弹了..
楼主那种裂纸欲出的大手笔..
竟使我忍不住一次次的翻开楼主的帖子..
每看一次,赞赏之情就激长数分..
我总在想..
是否有神灵活在它灵秀的外表下..
以至能使人三月不知肉味..
使人有余音穿梁,三日不绝的感受..
楼主,你写得实在是太好了..
我唯一能做的..
就只有把这个帖子顶上去这件事了..
我在天幻社区打滚这么多年..
所谓阅人无数..
就算没有见过猪走路,也总明白猪肉是啥味道的..
一看到楼主的气势..
我就觉得楼主同在社区里灌水的那帮小混蛋有着本质的差别..
那忧郁的语调..
那熟悉的签名..
还有字里行间高屋建瓴的辞藻..
没用的,楼主,就算你怎么换马甲都是没有用的..
你的亿万拥戴者早已经把你认出来了..
你一定就是传说中的宇宙超级无敌最强ID..
自从社区改版之后..
我就已经心灰意冷..
对社区也没抱什么希望了..
传说已经幻灭,神话已经终结..
留在社区还有什么意思..
没想到.没想到.今天可以再睹楼主的风范.
我激动得忍不住就在屏幕前流下了眼泪..
是啊,只要在楼主的带领下..
社区就有希望了..
我的内心再一次沸腾了..
我胸腔里的血再一次燃烧了..
楼主的几句话虽然简单.却概括扼要..
一语道出了我们苦想多年的而不可得答案的几个重大问题的根本..
楼主就好比社区的明灯..
楼主就好比社区的方向..
楼主就好比社区的栋梁..
有楼主在，社区的明天必将更好!
在遇到你之前..
我对人世间是否有真正的圣人是怀疑的..
而现在,我终于相信了..
我曾经忘情于汉廷的歌赋..
我曾经惊讶于李杜的诗才..
我曾经流连于宋元的词曲..
但现在..
我才知道我有多么浅薄!
楼主的帖子实在是写得太好了..
文笔流畅,修辞得体,深得魏晋诸朝遗风..
更将唐风宋骨发扬得入木三分..
能在有生之年看见楼主的这个帖子..
实在是我三生之幸啊..
看完楼主的这个帖子之后..
我竟感发生出一种无以名之的悲痛感..
啊,这么好的帖子..
如果将来我再也看不到了,那我该怎么办?那我该怎么办?
直到我毫不犹豫的把楼主的这个帖子收藏了..
我内心的那种激动才逐渐平复下来..
可是我立刻想到..
这么好的帖子,倘若别人看不到,那么不是浪费楼主的心血吗？
经过痛苦的思想斗争..
我终于下定决心..
我要把这个帖子一直往上顶!往上顶！顶到所有人都看到为止..
楼主你的高尚情操太让人感动了..
在现在这样一个物欲横流的金钱社会里..
竟然还能见到楼主这样的性情中人..
无疑是我这辈子最大的幸运..
让我深深感受到了人性的伟大..
楼主的帖子..
就好比黑暗中刺裂夜空的闪电..
又好比撕开乌云的阳光..
一瞬间就让我如饮甘露..
让我明白了永恒的真理在这个世界上是真实存在着的..
只有楼主这样具备广阔胸怀和完整知识体系的人..
才能作为这真理的唯一引言者..
看了楼主的帖子..
让我陷入了严肃的思考中..
我认为,如果不把楼主的帖子顶上去..
就是对真理的一种背叛..
就是对谬论的极大妥协..
因此,我决定义无返顾的顶了！
楼主的话真如“大音希声扫阴翳”..
犹如"拨开云雾见青天"..
使我等网民看到了希望,看到了未来..
晴天霹雳,醍醐灌顶或许不足以形容楼主文章的万一..
巫山行云,长江流水更难以比拟楼主的文才!黄钟大吕,振聋发聩!
你烛照天下,明见万里.
雨露苍生,泽被万方!
透过你深邃的文字..
我仿佛看到了你鹰视狼顾,龙行虎步的伟岸英姿..
仿佛看到了你手执如椽大笔,写天下文章的智慧神态..
仿佛看见了你按剑四顾,江山无数的英武气概!
逐句地再次看完楼主的帖子以后..
我的心仍然久久不能平静..
震撼啊!为什么会有如此好的帖子!
我纵横网络BBS多年..
自以为再也不会有任何帖子能打动我..
没想到今天看到了如此精妙绝伦的这样一篇帖子..
楼主..
是你让我深深地理解了"人外有人,天外有天"这句话..
衷心的感谢您!
在看完这帖子以后,我没有立即回复..
因为我生怕我庸俗不堪的回复会玷污了这"前无古人.后无来者"世间罕见的帖子..
但是我还是回复了..
因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我死也不会瞑目的!
能够在如此精彩的帖子后面留下自己的网名是多么骄傲的一件事啊!
楼主,请原谅我的自私..
我知道无论用多么华丽的辞藻来形容楼主您帖子的精彩程度都是不够的..
都是虚伪的..
所以我只想说一句：
您的帖子太好看了!
我愿意一辈子的看下去!
楼主这篇帖子..
构思新颖..
题材独具匠心..
段落清晰..
情节诡异..
跌宕起伏..
主线分明..
引人入胜..
平淡中显示出不凡的文学功底..
可谓是字字珠玑.句句经典..
是我辈应当学习之典范..
就小说艺术的角度而言..
这篇帖子不算太成功..
但它的实验意义却远远大于成功本身..
正所谓:"一马奔腾,射雕引弓,天地都在我心中!"
楼主真不愧为无厘界新一代的开山怪..
本来我已经对这个社区失望了..
觉得这个社区没有前途了..
心里充满了悲哀..
但是看了你的这个帖子..
又让我对社区产生了希望..
是你让我的心里重新燃起希望之火..
是你让我的心死灰复燃..
是你拯救了我一颗拨凉拨凉的心..
本来我决定不会在社区回任何帖子了..
但是看了你的帖子..
我告诉自己这个帖子是一定要回的..
这是百年难得一见的好贴啊!
苍天有眼啊..
让我在有生之年得以观得如此精彩绝伦的帖子!

落伍者

NOD.一起讨论下。

gary.chen

我也听说会修改内核，不过方式好像是作为内核加载的模块而已。 这个没什么关系吧 。
   还有，哪里有具体的初级的入门的帖子，书，我刚安装了ip filter，还不会用。

gary.chen

再加上oracle 数据库呢？