WEB开发网
开发学院网络安全防火墙 用Linux+Iptables构建防火墙实例 阅读

用Linux+Iptables构建防火墙实例

 2007-07-13 12:46:43 来源:WEB开发网   
核心提示: -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable 以上两行是为了防止Dos攻击做的一个简单的处理,大家对于各种攻击可做出相应的处理,用Linux+Iptables构建防火

-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

以上两行是为了防止Dos攻击做的一个简单的处理,大家对于各种攻击可做出相应的处理。

-A INPUT –i eth0 –m state –state ESTABLISHED,RELATED –j ACCEPT-A INPUT –i eth0 –j DROP

以上两行是做了一个INPUT状态防火墙的处理,其主要作用为防止外部的连接和攻击,因其接受ESTABLISHED,RELATED状态(一个包分为NEW,ESTABLISHED,RELATED,INVALID四种状态)的包,故又不妨碍从本机出去的连接。

由于并不是所有的电脑都可以上网,所以还要对共享上网的电脑做一个限制:

IP限制:

-A FORWARD –s 192.168.2.0/29 –p udp –m multiport –port 53 –j ACCEPT

-A FORWARD –s 192.168.2.0/29 –p tcp –m multiport –port 3128,110,25 –j ACCEPT

-A FORWARD –s 192.168.20.253 –j ACCEPT

充许192.168.2.0~192.168.2.7和192.168.20.253(squid server)的电脑可上网和发邮件。3128是squid server的proxy port。我们用它去共享上网,110为pop3,25为smtp。Udp的53为DNS所要的port。不过由于使用的是DHCP,可能每次得到的IP都不一样,所以我们就要用下面一种MAC限制的方法了。

MAC 限制:

-A FORWARD –m mac -–mac XX:XX:XX:XX:XX:XX –p udp –m multiport –port 53 –j ACCEPT

-A FORWARD –m mac -–mac XX:XX:XX:XX:XX:XX –p tcp –m multiport –port 3128,110,25 –j ACCEPT

上一页  1 2 3 4 5 6  下一页

Tags:Linux Iptables 构建

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接