iptables防火墙配置工具ShoreWall进阶实用介绍

核心提示： PROTOCOL可以设定的内容为/etc/protocols的服务内容，这个字段可以选择不设定，iptables防火墙配置工具ShoreWall进阶实用介绍(5)，PORT如果在PROTOCOL的部份设定为TCP或是UDP的话，那么在这个选项中就可以设定端口号，先挡掉gateway.mes

PROTOCOL可以设定的内容为/etc/protocols的服务内容，这个字段可以选择不设定。

PORT如果在PROTOCOL的部份设定为TCP或是UDP的话，那么在这个选项中就可以设定端口号，或者是服务名称了，这个字段可以选择不设定。

范例：

192.0.2.126 udp 53

上面这行所表示的是封锁由IP192.0.2.126所请求的DNS查询服务。

二、进阶应用介绍

1、开放服务

前面的政策就是将所有由外而内的服务都给封锁掉了，所以现在要一个一个的打开，在此开放HTTP、SMTP、POP3、SSH、DNS、还有一个port10000的Webmin的服务，那么在rules的设定就会如下所示：

ACTION SOURCE DEST PROTO DEST PORT
ACCEPT net fw tcp http
ACCEPT loc fw tcp http
ACCEPT net fw tcp smtp
ACCEPT loc fw tcp smtp
ACCEPTnetfwtcppop3
ACCEPClocfwtcppop3
ACCEPT net fw tcp ssh
ACCEPT loc fw tcp ssh
ACCEPT net fw tcp dns
ACCEPT loc fw tcp dns
ACCEPT net fw udp dns
ACCEPT loc fw udp dns
ACCEPT net fw tcp10000
ACCEPT loc fw tcp10000

以上所有的服务因为都是在这台防火墙中，所以DEST的字段都是设定为fw这个接口，另外因为分别有对内及对外的接口，所以每一个服务都会设定两次，不过也有另外一种设定的方式，如下所示：

2、实例：阻挡MSN

MSN是1863，而MSN连结的网站地址则是为gateway.messenger.hotmail.com。

先挡掉gateway.messenger.hotmail.com的所有tcp连结，在rules的档案中加入以下的记录：

DROPlocnet:gateway.messenger.hotmail.comtcp-

接着再挡掉连结到任何地址的1863端口，

DROP local tcp1863

这样子就可以挡掉大部份msn连结的服务了。