扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
IPSEC设定是否要对这个网络接口的联机进行加密,如果是空白,就是不需要,如果是yes的话,就会进行加密。
范例:
eth0 eth1 206.124.146.177 tcps mtp eth0 eth1 206.124.146.176 |
以上的设定内容是代表所有由eth1的tcp协议的smtp封包,都会把IP的标头设定为206.124.146.177,然后由eth0送出去,然后其余的封包都是将封包的标头设定为206.124.146.176,然后由eth0送出去。
5、modules
这个档案会将所有Iptables所需要的模块都加载进去,预设的内容如下所示:
loadmoduleip_tables loadmoduleiptable_filter loadmoduleip_conntrack loadmoduleip_conntrack_ftp loadmoduleip_conntrack_tftp loadmoduleip_conntrack_irc loadmoduleiptable_nat loadmoduleip_nat_ftp loadmoduleip_nat_tftp loadmoduleip_nat_irc |
如果您有其它的模块的话,只要加入modules这个档案即可。
6、blacklist
这个档案是设定联机的黑名单,您可以在这个档案中限制某些网络地址的联机动作
ADDRESS/SUBNET PROTOCOL PORT ADDRESS/SUBNET设定所要限制的网络地址,或是子网络及MAC Address,格式分别为下列三种:网络地址:192.168.1.10 子网络:192.168.1.0/24 MACAddress:~00-A0-C9-15-39-78
PROTOCOL可以设定的内容为/etc/protocols的服务内容,这个字段可以选择不设定。
PORT如果在PROTOCOL的部份设定为TCP或是UDP的话,那么在这个选项中就可以设定端口号,或者是服务名称了,这个字段可以选择不设定。
范例:
192.0.2.126 udp 53 |
上面这行所表示的是封锁由IP192.0.2.126所请求的DNS查询服务。
二、进阶应用介绍
1、开放服务
前面的政策就是将所有由外而内的服务都给封锁掉了,所以现在要一个一个的打开,在此开放HTTP、SMTP、POP3、SSH、DNS、还有一个port10000的Webmin的服务,那么在rules的设定就会如下所示:
ACTION SOURCE DEST PROTO DEST PORT ACCEPT net fw tcp http ACCEPT loc fw tcp http ACCEPT net fw tcp smtp ACCEPT loc fw tcp smtp ACCEPTnetfwtcppop3 ACCEPClocfwtcppop3 ACCEPT net fw tcp ssh ACCEPT loc fw tcp ssh ACCEPT net fw tcp dns ACCEPT loc fw tcp dns ACCEPT net fw udp dns ACCEPT loc fw udp dns ACCEPT net fw tcp10000 ACCEPT loc fw tcp10000 |
以上所有的服务因为都是在这台防火墙中,所以DEST的字段都是设定为fw这个接口,另外因为分别有对内及对外的接口,所以每一个服务都会设定两次,不过也有另外一种设定的方式,如下所示:
2、实例:阻挡MSN
MSN是1863,而MSN连结的网站地址则是为gateway.messenger.hotmail.com。
先挡掉gateway.messenger.hotmail.com的所有tcp连结,在rules的档案中加入以下的记录:
DROPlocnet:gateway.messenger.hotmail.comtcp- |
接着再挡掉连结到任何地址的1863端口,
DROP local tcp1863 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。