科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道基于Linux系统的包过滤防火墙(15)

基于Linux系统的包过滤防火墙(15)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包,也可能执行其它更复杂的动作。

作者:51CTO.COM 2007年11月9日

关键字: 包过滤 防火墙 iptables Linux

  • 评论
  • 分享微博
  • 分享邮件

  iptables [-t table]CMD[chain][rule-matcher]-j TOS-set-tos tos_value

  其中tos_value可以是0x02、0x04、0x06、0x08、0x10。

  下面是使用ToS目标扩展设置ToS值的一些例子:

  #iptables -A OUTPUT -p tcp -m tcp-dport 21 -j TOS-set-tos 0x10

  #iptables -A OUTPUT -p tcp -m tcp-dport 22 -j TOS-set-tos 0x10

  #iptables -A OUTPUT -p tcp -m tcp-dport 110 -j TOS-set-tos 0x08

  (2)日志记录。iptables使用新的目标扩展LOG来实现日志记录。LOG目标用syslogd记录此包并继续传播。LOG目标扩展还可以使用如下的一些参数:

  → --log-level

  跟踪一个级别名称或数字。合适的名字是'debug'、'info'、'notice'、'warning'、'err'、'crit'、'alert' 和'emerg',相当于数字7到0。参考syslog.conf的手册可获取这些级别的说明。默认是'warning'。

  → --log-prefix

  跟踪一个最多29个字符的字符串,它被写入到log信息的开始处,这样可以方便地使用grep对日志进行过滤。

  另外,在使用LOG目标扩展的同时,还可以使用limit match,这样可以使记录有用日志的同时确保日志记录不会变得冗长。

  下面是使用LOG目标扩展的一些例子:

  #iptables -A FORWARD -m tcp -p tcp -j LOG

  #iptables -A FORWARD -m icmp -p icmp-sport echo-reply -j LOG

  #iptables -A INPUT -m limit-limit 3/m-limit-burst 3 -j LOG-log-prefix "INPUT packet died:"

  3.1 建立包过滤防火墙

  3.1.1网络结构

  本节为一个的网络结构建立一个包过滤防火墙。

  这个网络结构假设内部网有有效的Internet地址。为了将内部网段198.168.80.0/24与Internet隔离,在内部网络和 Internet之间使用了包过滤防火墙。防火墙的网接口是eth1(198.168.80.254),防火墙的Internet接口是eth0 (198.199.37.254)。加外,内网中有3台服务器对外提供服务。分别为:

  → WWW服务器:IP地址为198.168.80.251

  → FTP服务器:IP地址为198.168.80.252

  → E-mail服务器:IP地址为198.168.80.253

  3.1.2 防火墙的建立过程

  本例主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具本过程如下:

  #!/sbin/bash

  #在屏幕上显示信息

  echo "Starting iptables rules..."

  #开启内核转发功能

  echo "1">;/proc/sys/net/ipv4/ip_forward

  #定义变量

  IPT=/sbin/iptables

  WWW-SERVER=198.168.80.251

  FTP-SERVER=198.168.80.252

  EMAIL-SERVER=198.168.80.253

  IP_RANGE="198.168.80.0/24"

  #刷新所有的链的规则

  $IPT -F

  #首先禁止转发任何包,然后再一步步设置允许通过的包

  #所以首先设置防火墙FORWARD链的策略为DROP

  $IPT -P FORWARD DROP

  #下面设置关于服务器的包过滤规则

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章