当前位置:  技术问答>linux和unix

linux下的防火墙

    来源: 互联网  发布时间:2015-04-13

    本文导语:  最近开始研究linux下的防火墙,请问各位高手如何下手? 应该使用哪个版本的linux,应该看哪些书,应该学习些哪方面的知识,请详细介绍! 在这里谢谢了! | 当然是看内核方面的源代码了,...

最近开始研究linux下的防火墙,请问各位高手如何下手?
应该使用哪个版本的linux,应该看哪些书,应该学习些哪方面的知识,请详细介绍!
在这里谢谢了!

|
当然是看内核方面的源代码了, 具体位置是/usr/src/linux/net/ipv[46]/netfilter
至于iptables则有单独的包,可以去http://www.netfilter.org/下载
phrack 61的一篇文章也有分析,你可以去看看
地址是:http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=862

|
借花献佛了,呵呵
1.关于DNAT的补充说明! 

对于用ADSL拨号上网的用户,外部网卡往往获取的ip地址是不固定的,所以虚拟主机,或者WWW,mail,ftp发布可能会有些问题,在此针对ADSL的不固定IP情况设置相应的DNAT策略,使能正常发布内网的FTP,MAIL,WWW。 

我们这里以发布WWW为例,还是192.168.0.2为内部WWW服务器,只不过现在的服务器是通过ADSL上网 

所以我们添加以下策略: 
ptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 
将80请求转发至192.168.0.2:80端口 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.1 
返回a.b.b.d时数据源来自同一子网,就将其源地址更改为192.168.0.1,从eth0发出,并在连接跟踪表中查出a.b.c.d是从ppp0进来的,又由ppp0将此数据发出。(我也看不明白为何要有这句话) 
iptables -A INPUT -p tcp --dport 80 -i ppp0 -j ACCEPT 
允许80端口访问的语句。 
然后重新 
/etc/rc.d/init.d/iptables save 
/etc/rc.d/init.d/iptables restart 

其他如FTP发布也可举一反三: 
ptables -t nat -A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.2:21 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2 -p tcp -m tcp --dport 21 -j SNAT --to-source 192.168.0.1 
iptables -A INPUT -p tcp --dport 21 -i ppp0 -j ACCEPT 


上网的时候,用ifconfig看看ppp0的地址,然后用那个地址看看WWW是否正常发布。呵呵,应该是没问题的哦! 


2.关于封QQ,联众和边峰游戏的补充说明 

相信很多公司的老板会让网管通过防火墙来封锁QQ,联众和边峰游戏,但又不能耽误其他事,我这里有个简单的配置文件服务器也是通过ADSL上网,能简单的实现以上要求: 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -A FORWARD -p icmp -j ACCEPT 开放ping功能 
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT 开放网页浏览功能 
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT 开放smtp发信功能 
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT 开放pop3收信功能 
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT 开放默认FTP功能 
iptables -A FORWARD -p tcp --dport 4000 -o ppp0 -j DROP 封锁边峰 
iptables -A FORWARD -p tcp --dport 2000 -o ppp0 -j DROP 封锁联众 
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 8000 -j DROP 封锁QQ(有时udp4000端口也要封锁) 
iptables -A FORWARD -p udp -j ACCEPT 允许其他UDP服务,比如DNS等 

IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT 
IPTABLES -A FORWARD -p TCP --dport 7801:7825 -j ACCEPT 
IPTABLES -A FORWARD -p TCP --dport 6891:6900 -j ACCEPT 
上面三条是开放了MSN, 不知行不行? 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE 


3.我不想让人家可以PING到我 

这大概是做防火墙用到最多的一种了 你可以在iptables写这句话 
iptables -A INPUT -p icmp --icmp-type echo-request -i ppp0 -j DROP



|
先学一下防火墙的原理,再学会LINUX下的iptables和netfilter的使用,最好能读一下相关的源代码。进一家网络安全公司,写自己的LINUX防火墙。(不能排除有的网络安全公司把iptables包装一下,变成中国第三代,达到国际先进水平的,自主知识产权的防火墙)。

|
我也在学,正在读iptables/netfilter 得源代码,
可以交流一下,
qq 64385885

cvsuser(猪头)

    
 
 

您可能感兴趣的文章:

  • redhat linux/CentOS 6/7 关闭防火墙(iptables)命令,作用:CentOS 防火墙不关行不行?
  • 嵌入式linux开发与防火墙系统linux开发
  • Linux防火墙 (Linux Firewalls: Attack Detection and Response with iptables, psad, an
  • Linux网络防火墙 Turtle Firewall
  • 请问:linux 8.0 的防火墙配置文件是哪个?
  • 路由和防火墙软件 Coyote Linux
  • Linux防火墙 IPFire
  • 关于linux防火墙的初级问题
  • Linux防火墙管理器 Vuurmuur
  • 怎么确定LINUX GATEWAY用的是什么防火墙????怎么找到配置文件???
  • 在linux8.0下关闭防火墙
  • 谁知道在linux下怎么去掉防火墙??
  • 请教:关于linux防火墙iptables的问题
  • 其他机无法访问linux下tomcat,本机可以访问,其他机可PING到linux的IP,防火墙都已禁用?
  • 有没有linux操作系统下的病毒防火墙?
  • 关于linux防火墙的问题
  • Linux 防火墙 UFW
  • Linux防火墙 SmoothWall
  • Linux 的防火墙构建工具 Sanewall
  • Linux防火墙 NuFW
  • linux防火墙问题
  • 纠结啊!嵌入式linux研二,要不要去做防火墙?求指点,在线等
  • 用什么命令关掉linux的防火墙呀
  • Linux包过滤防火墙
  • 为什么我关闭linux防火墙就死机了。。。急。。。
  • linux 下怎么撤销防火墙
  • Linux下的基于应用层协议的防火墙。
  • linux下配置防火墙的问题(急)
  • 问一下linux防火墙的类型
  • 求设计LINUX防火墙方面的书籍
  • linux下网络安全中防火墙的技术路线是什么呢?
  •  
    本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • linux c/c++ IP字符串转换成可比较大小的数字
  • 在win分区上安装linux和独立分区安装linux有什么区别?可以同时安装吗?(两个linux系统)
  • linux哪个版本好?linux操作系统版本详细介绍及选择方案推荐
  • 在虚拟机上安装的linux上,能像真的linux系统一样开发linux程序么?
  • secureCRT下Linux终端汉字乱码解决方法
  • 我重装window后,把linux的引导区覆盖了,进不了linux怎么办?急啊,望热心的人帮助 (现在有linux的盘)
  • Linux c字符串中不可打印字符转换成16进制
  • 安装vmware软件,不用再安装linux系统,就可以模拟linux系统了,然后可以在其上学习一下LINUX下的基本操作 了?
  • Linux常用命令介绍:更改所属用户群组或档案属性
  • 红旗Linux主机可以通过127.0.0.1访问,但如何是连网的Win2000机器通过Linux的IP去访问Linux
  • linux命令大全详细分类介绍及常用linux命令文档手册下载
  • 我重装window后,把linux的引导区覆盖了,进不了linux怎么办?急啊,望热心的人帮助 (现在没有linux的盘,只有DOS启动盘)
  • Linux Kernel 'sctp_v6_xmit()'函数信息泄露漏洞
  • 如何让win2000和linux共存。我装好WIN2000,再装LINUX7.0,但LILO只能找到LINUX,不能引导WIN2000
  • linux c下利用srand和rand函数生成随机字符串
  • 在windows中的VMware装了个linux,主板有两个串口,能做windows和linux的串口通信测试么,怎么测试这两个串口在linux是有效
  • Linux c++虚函数(virtual function)简单用法示例代码
  • 我们网站的服务器从windows2000迁往linux,ASP程序继续使用,可是我连LINUX的皮毛都不了解,大家告诉我LINUX下怎么建网站??
  • Docker官方镜像将会使用Alpine Linux替换Ubuntu
  • 中文Linux与西文Linus分别哪一个版是权威?I认为是:中科软的白旗Linux与西文的绿帽子Linux!大家的看法呢?
  • Linux下chmod命令详细介绍及用法举例
  • 我重装了winme,却进不了Linux了,而我现在又没有Linux光盘,也没有Linux启动盘,还有没有办法?


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3