防火墙示例-用简单规则集保护网络

 

 

防火墙的配置要求如下：

1、   拒绝所有外面传入的、向外的和转发的包。

2、   允许所有外传的 TCP 连接：我们这里允许的如 web/telnet/ssh/ftp 等外传。

3、   允许外发的 TCP 连接的返回封包通过防火墙，需检查封包的状态。

4、   允许向外发送 UDP 连接在端口 53 上指定域名服务器，但只允许伟入的 DNS 封包进入内部的域名服务器 chivas 。

5、   创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则：来自专网的向因特网传递的封包需从内部接口 eth0 向外部接口 eth1 转发。返回的封包以相反方向发送回来。

6、   在内核中启用 IP 转发功能。

=========================================================================

构建一个基本的防火墙

------------------------------------

[root@linux-tys root]# sysctl �Cp                       ----- 设置 IP 转发

[root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward    ----- 确认 IP 转发，可以见到结果为 1

 

[root@lg root]# iptables �CF                          ----- 清除预设表 filter 中所有规则链的规则

[root@lg root]# iptables �CX                          ----- 清除预设表 filter 中自定义规则链的规则

[root@lg root]# iptables �CF �Ct mangle                  ----- 清除表 mangle 中所有规则链的规则

[root@lg root]# iptables �Ct mangle -X                  ----- 清除表 mangle 中所有自定义规则链的规则

[root@lg root]# iptables �CF �Ct nat                      ----- 清除表 nat 中所有规则链的规则

[root@lg root]# iptables �Ct nat -X                      ----- 清除表 nat 中所有自定义规则链的规则

 

[root@linux-tys root]# iptables -A INPUT -p tcp  - -dport 22 -j ACCEPT

[root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

[root@linux-tys root]# iptables -P INPUT DROP

[root@linux-tys root]# iptables -P OUTPUT DROP

[root@linux-tys root]# iptables -P FORWARD DROP

 

[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo   ---- 此两行为在回送接口上允许内部网络流量

[root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo

 

[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW

----- 此规则设置新建和已建的 TCP 连接的封包将会通过 eth1 向外转发，不指明源和目标地址代表任何地址

 

[root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT   -- 这条允许来自专网到达专网接口的所有流量，下面一条规则则是检查到达外部网络接口的每个封包，属于已有连接通过

[root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

以下配置规则使之从一个网络接口转发到另一个： 第一条规则接收所有来自专网的封包，并被转发到外网卡 eth1 上；第二条规则到达外部网络接口 eth1 上的封包，如属于已有连接，则转发到内网。

[root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-

[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

最后建立 NAT 规则， POSTROUTING 表封包送出时需要翻译，该规则设置为对流出外部网络接口 eth1 的封包起作用，并将源地址变为 eth1 的地址。

[root@linux-tys root]# modprobe iptable_nat    ---- 加载 NAT 模块

[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

 

备份和恢复

1 、备份防火墙设置 ： [root@lg root]# iptables-save>iptablesrules.txt   本次设为 iptablesdefault.txt

2 、删除防火墙设置 ： [root@lg root]# iptables �C F                 删除所有的链。

3 、恢复防火墙设置 ： [root@lg root]# iptables-restore iptablesrules.txt

 

使防火墙自动化

[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables  --- 保存规则到 /etc/syscofig/iptables 中，并自启动

[root@linux-tys root]# /etc/init.d/iptables start/stop/restart    ---- 保存后则可用这个命令来控制其状态

===============================================================================

使用自定义链整固防火墙

------------------------------------------

基本规则并不检查除 TCP 连接状态以外的事项，可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性，更为复杂的规则集可指定哪一个 TCP 端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。

修改后的防火墙配置如下：

1 、首先也是启用转发，清空所有规则，设默认为 DROP ，在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是 SSH 的访问要保留。

2 、创建一个 PRIV 链来处理来自专用网络的流量。 这个链传递已有返回的封包，进入防火墙的 SSH 封包，以及目的地为因特网的 FTP 、 SSH 和 HTTP 封包，然后将 INPUT 链规则导向到这一个链上。

[root@linux-tys root]# iptables - N PRIV

[root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@linux-tys root]# iptables -A PRIV -p tcp �Cs 192.168.1.0/24 �Cd 192.168.1.254 --dport 22 -j ACCEPT

[root@linux-tys root]# iptables -A PRIV -p udp �Cd 0/0  --dport 53 -j ACCEPT

[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT

[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT

[root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV

[root@linux-tys root]# iptables -A OUTPUT �Co eth0 -j PRIV

3 、创建一个链来处理来自 DMZ （如果使用的话）以及外部网络到达的流量。 这个链丢弃来自专用网络和 DMZ 网源地址的所有封包，这是因为，第一，前者是欺骗地址，第二，根据策略，不允许来自 DMZ 的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。

[root@linux-tys root]# iptables - N EXT

[root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP

[root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP

[root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT

[root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT

[root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT   -- 配置 INPUT 链，使之将流量导向到 EXT

[root@linux-tys root]# iptables -A OUTPUT �Co eth1 -j EXT

4 、修改 FORWARD 链以创建网关功能。 自内网接口来的新的或已有的连接被转发到外部接口上。

[root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

5 、建立 SNAT 规则。 对源地址起作用转换为 192.168.32.254 。此步后即可实现网关防火墙功能了。

[root@linux-tys root]# modprobe iptable_nat

[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

6 、配置 OUTPUT 链。 使之允许来自防火墙服务的封包传到专用网络及因特网上。

[root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

[root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

7、   检查防火墙规则并添加一条规则然后保存规则

[root@linux-tys root]# iptables -L �Cv    ----   -v 将显示网络接口的附加信息

[root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT

[root@linux-tys root]# iptables-save > custom.txt    或作下面命令的保存

[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables  --- 保存规则到 /etc/syscofig/iptables 中，并自启动