基于Linux系统的包过滤防火墙(15)

　　iptables [-t table]CMD[chain][rule-matcher]-j TOS-set-tos tos_value

　　其中tos_value可以是0x02、0x04、0x06、0x08、0x10。

　　下面是使用ToS目标扩展设置ToS值的一些例子：

　　#iptables -A OUTPUT -p tcp -m tcp-dport 21 -j TOS-set-tos 0x10

　　#iptables -A OUTPUT -p tcp -m tcp-dport 22 -j TOS-set-tos 0x10

　　#iptables -A OUTPUT -p tcp -m tcp-dport 110 -j TOS-set-tos 0x08

　　(2)日志记录。iptables使用新的目标扩展LOG来实现日志记录。LOG目标用syslogd记录此包并继续传播。LOG目标扩展还可以使用如下的一些参数：

　　→ --log-level

　　跟踪一个级别名称或数字。合适的名字是'debug'、'info'、'notice'、'warning'、'err'、'crit'、'alert' 和'emerg'，相当于数字7到0。参考syslog.conf的手册可获取这些级别的说明。默认是'warning'。

　　→ --log-prefix

　　跟踪一个最多29个字符的字符串，它被写入到log信息的开始处，这样可以方便地使用grep对日志进行过滤。

　　另外，在使用LOG目标扩展的同时，还可以使用limit match,这样可以使记录有用日志的同时确保日志记录不会变得冗长。

　　下面是使用LOG目标扩展的一些例子：

　　#iptables -A FORWARD -m tcp -p tcp -j LOG

　　#iptables -A FORWARD -m icmp -p icmp-sport echo-reply -j LOG

　　#iptables -A INPUT -m limit-limit 3/m-limit-burst 3 -j LOG-log-prefix "INPUT packet died:"

　　3.1　建立包过滤防火墙

　　3.1.1网络结构

　　本节为一个的网络结构建立一个包过滤防火墙。

　　这个网络结构假设内部网有有效的Internet地址。为了将内部网段198.168.80.0/24与Internet隔离，在内部网络和 Internet之间使用了包过滤防火墙。防火墙的网接口是eth1(198.168.80.254),防火墙的Internet接口是eth0 (198.199.37.254)。加外，内网中有3台服务器对外提供服务。分别为：

　　→ WWW服务器：IP地址为198.168.80.251

　　→ FTP服务器：IP地址为198.168.80.252

　　→ E-mail服务器：IP地址为198.168.80.253

　　3.1.2 防火墙的建立过程

　　本例主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具本过程如下：

　　#!/sbin/bash

　　#在屏幕上显示信息

　　echo "Starting iptables rules..."

　　#开启内核转发功能

　　echo "1">;/proc/sys/net/ipv4/ip_forward

　　#定义变量

　　IPT=/sbin/iptables

　　WWW-SERVER=198.168.80.251

　　FTP-SERVER=198.168.80.252

　　EMAIL-SERVER=198.168.80.253

　　IP_RANGE="198.168.80.0/24"

　　#刷新所有的链的规则

　　$IPT -F

　　#首先禁止转发任何包，然后再一步步设置允许通过的包

　　#所以首先设置防火墙FORWARD链的策略为DROP

　　$IPT -P FORWARD DROP

　　#下面设置关于服务器的包过滤规则