运用管理工具建立Linux防火墙技巧

• 　　防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。Linux操作系统内核具有包过滤能力，系统管理员通过管理工具设置一组规则即可建立一个基于Linux的防火墙，用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包，用一台闲置的PC就可以替代昂贵的专门防火墙硬件，对于某些中小企业或部门级用户，很值得参考。
  　

  1基于Linux操作系统防火墙的实现
  
  　　基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面，让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。
  
  　　由于Linux的内核各有不同，提供的包过滤的设置办法也不一样。IpFwadm是基于Unix中的ipfw，它只适用于Linux2.0.36以前的内核；对于Linux2.2以后的版本，使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它们配置的4个链中，有3个在Linux内核启动时进行定义，分别是：进入链（InputChains）、外出链（OutputChains）和转发链（ForwardChains），另外还有一个用户自定义的链（UserDefinedChains）。进入链定义了流入包的过滤规则，外出链定义了流出包的过滤规则，转发链定义了转发包的过滤规则。
  
  　　这些链决定怎样处理进入和外出的IP包，即当一个包从网卡上进来的时候，内核用进入链的规则决定了这个包的流向;如果允许通过，内核决定这个包下一步发往何处，如果是发往另一台机器，内核用转发链的规则决定了这个包的流向;当一个包发送出去之前，内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的，如果这个包与第一条规则不匹配，则接着检查下一条规则，当找到一条匹配的规则后，规则指定包的目标，目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。
  
  　　其中，Accept指允许通过;Deny指拒绝;Reject指把收到的包丢弃，但给发送者产生一个ICMP回复；Return指停止规则处理，跳到链尾；Masq指对用户定义链和外出链起作用，使内核伪装此包;Redirect只对进入链和用户定义链起作用，使内核把此包改送到本地端口。为了让Masq和Redirect起作用，在编译内核时，我们可以分别选择Config_IP_Masquerading和Config_IP_Transparent_Proxy。
  
  　　假设有一个局域网要连接到Internet上，公共网络地址为202.101.2.25。内部网的私有地址根据RFC1597中的规定，采用C类地址192.168.0.0～192.168.255.0。为了说明方便，我们以3台计算机为例。实际上，最多可扩充到254台计算机。
  
  　　具体操作步骤如下：
  
  　　1、在一台Linux主机上安装2块网卡ech0和ech1，给ech0网卡分配一个内部网的私有地址191.168.100.0，用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25，用来与Internet相连。
  
  　　2、Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。
  
  　　具体设置如下：
  
  　　(1)刷新所有规则
  
  　　(2)设置初始规则
  
  　　(3)设置本地环路规则
  
  　　本地进程之间的包允许通过。
  
  　　(4)禁止IP欺骗
  
  　　(5)禁止广播包
  
  　　(6)设置ech0转发规则
  
  　　(7)设置ech1转发规则
  
  　　将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了。
  

• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 运用管理工具建立Linux防火墙技巧 相关文章：
• ·硬件防火墙的配置过程讲解
• ·开启瑞星防火墙不能上网问题解决
• ·Windows防火墙对UPnP框架有何影响
• ·防患于未然 十大个人防火墙精品推荐
• ·巧用天网防火墙来查对方IP地址
• ·配置ISA防火墙作为网络间的路由器
• ·深入分析Linux防火墙
• ·防火墙技术说明及发展趋势
• ·酒精120%和瑞星防火墙无法在vista上安装
• ·无法显示WindowsF防火墙设置
• 运用管理工具建立Linux防火墙技巧 相关软件
• ·ARP防火墙 V5.0 Beta1 单机版
• ·江民防火墙 V10.0
• ·零号防火墙 V1.0 Final 简体中文绿色版
• ·瑞星个人防火墙2008下载版（免费半年） 20.48.11
• ·世界顶级防火墙Look n Stop V2.05 中文版
• ·瑞星杀毒防火墙组合版2007V19.34.32 完全免费版
• ·鸿兴防火墙(ARP+IE) V2.0
• ·ARP防火墙 V3.1.1 网络版
• ·ARP防火墙单机版 v5.0.1
• ·天网防火墙V3.0.0.1014 个人版

上一篇:一步步检测路由排除网络问题

下一篇:为何登陆QQ邮箱需要输入验证码?

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐