WEB开发网
开发学院网络安全防火墙 使用iptables建置Linux 防火墙(2) 阅读

使用iptables建置Linux 防火墙(2)

 2006-04-03 12:36:09 来源:WEB开发网   
核心提示: $IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP# allowed chain# allowed 规则炼的功能是:允许要求联机封包或响应封包进入,将其余封包丢弃$IPTABLES -A allo

$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

# allowed chain

# allowed 规则炼的功能是:允许要求联机封包或响应封包进入,将其余封包丢弃

$IPTABLES -A allowed -p TCP --syn -j ACCEPT

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A allowed -p TCP -j DROP

#

# ICMP rules

# icmp_packets 规则炼的功能是:允许 ping 封包进入,将其余封包丢弃

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#

# 4.1.4 INPUT chain(过滤要到达防火墙的封包)

#

#

# 进入防火墙主机的 TCP 封包必须先进行 bad_tcp_packets 过滤

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

# 从 WAN 进入防火墙主机的 ICMP 封包必须先进行 icmp_packets 过滤,这是为了避免骇客传送不完整的 IP 封包,系统会响应 ICMP 封包通知对方,导致主机位置被侦测出来

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

# 从 LAN 进入防火墙主机的全部 unicast 和 broadcast 封包,通通放行;额外检查目的地 IP 可以将 multicast 封包滤除

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

# 从 Loopback 接口进入防火墙主机的所有封包,检查是否来自本机,若是则放行;此规则去检查来源 IP ,似乎有些画蛇添足,因为只有来自本机的封包才有机会进入 Loopback 接口

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

上一页  1 2 3 4 5 6 

Tags:使用 iptables Linux

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接