# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
2.参考网址:
http://phorum.study-area.org/viewtopic.php?t=41142
3.使用 setup 设定规则 filter table 中除了预设的 INPUT 、 OUTPUT 及 FORWARD 外再自行建立了 RH-Firewall-1-INPUT。
4.将 INPUT 及 FORWARD 导向 RH-Firewall-1-INPUT 中。
注:INPUT是指进入本机;FORWARD是指由一个介面流向另一个介面(例:eth0 <--> eth1)。
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
5.完全接受 loopback interface 的封包(主机可以存取本身的所有服务项目)
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
6.允许主机可以接受 ping 等 icmp 封包
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
7.下面这叁行与ipv6 有关,(224.0.0.251 is a multicast address ... you can disable it if you don't want to use mdns ...)
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
8.网际网路印表机服务
631/tcp # Internet Printing Protocol
631/udp # Internet Printing Protocol
注:可删除规则下列规则
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
9.允许连线出去后对方主机回应进来的封包(包括主动式与被动式的ftp连线)。
当主机对外要建立连线时,远端主机势必也要回应封包到原主机,所以回应的封包是要被允许的。
-m state --state ESTABLISHED 扮演很重要角色,那就是允许连线出去后对方主机回应进来的封包。
RELATED 配合 ip_conntrack_ftp (ip_nat_ftp)模组 可以针对连入与连外目的 port 为 21 的 ftp 协定命令沟通进行拦截
在 /etc/sysconfig/iptables-config 中加入
IPTABLES_MODULES="ip_conntrack_ftp"
重新�⒍� iptables 服务即可载入指定的模组!
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
10.允许连线服的项目(tcp/1000、tcp/873、tcp/22、tcp/80等)
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
11.除了允许的服务外其它回应 icmp封包 「icmp-host-prohibited」
每个type所对应的讯息如下:
icmp-net-unreachable => Destination Net Unreachable
icmp-host-unreachable => Destination Host Unreachable
icmp-port-unreachable => Destination Port Unreachable
icmp-proto-unreachable => Destination Protocol Unreachable
icmp-net-prohibited => Dest Unreachable, Bad Code: 9
icmp-host-prohibited => Dest Unreachable, Bad Code: 10
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited