扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
#由于服务器/客户机交互是双向的,所以不仅仅要设置数据包
#出去的规则,还要设置数据包返回的规则
#
#(1)WWW服务
#服务端口为80,采用tcp或udp协议
#规则为eth0=>;允许目的为内部网WWW服务器的包
$IPT -A FORWARD -p tcp -d $WWW-SERVER-dport www -i eth0 -j ACCEPT
#
#(2)FTP服务
#服务端口为21,数据端口20
#FTP的传输模式有主动和被动之分,FTP服务采用tcp协议
#规则为:eth0=>;仅允许目的为内部网ftp服务器的包
$IPT -A FORWARD -p tcp -d $FTP-SERVER -dport ftp -i eth0 -j ACCEPT
#
# (3)EMAIL服务
#包含两个协议,一个是smtp,另一个是pop3
#出于安全性考虑,通常只提供对内的pop3服务
#所以在这里我们只考虑对smtp的安全性问题
#smtp端口为25,采用tcp协议
#规则为etho=>;仅允许目的为E-mail服务器的smtp请求
$IPT -A FORWARD -p tcp -d $EMAIL-SERVER-dport smtp -i eth0 -j ACCEPT
#
# 2.下面设置针对Internet客户的过滤规则
#本例中防火墙位于网关的位置,所以主要是防止来自Internet的攻击
#不能防止来自Intranet的攻击
#假如网络中的服务器都是基于Linux的,也可以在每一部服务器上设置
#相关的过滤规则来防止来自Internet的攻击
#对于Internet对Intranet客户的返回包,定义如下规则
#
#(1)允许Intranet客户采用被动模式访问Internet的FTP服务器
$IPT -A FORWARD -p tcp -s 0/0 --sport ftp-data -d $IP_RANGE -i eth0 -j ACCEPT
#
#(2)接收来自Internet的非连接请求tcp包
$IPT -A FORWARD -p tcp -d 198.168.80.0/24 ! --syn -i eth0 -j ACCEPT
#
#(3)接收所有udp包,主要是针对oicq等使用udp的服务
$IPT -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT
#
#3.然后接受来自整个Intranet的数据包过滤,我们定义如下规则
$IPT -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT
#
#处理ip碎片
#接受所有的ip碎片,但采用limit匹配扩展对其单位时间可以通过的
#ip碎片数量进行限制,以防止ip碎片攻击
$IPT -A FORWARD -f -m limit-limit 100/s-limit-burst 100 -j ACCEPT
#说明:对不管来自哪里的ip碎片都进行限制,允许每秒通过100个ip碎片
#该限制触发的条件是100个ip碎片
#
#设置icmp包过滤
#ipmp包通常用于网络测试等,故允许所有的icmp包通过
#但是黑客常常采用icmp进行攻击,如ping of death等
#所以我们采用limit匹配扩展加以限制
$IPT -A FORWARD -p icmp -m limit-limit 1/s-limit-burst 10 -j ACCEPT
#说明:对不管来自哪里的icmp包都进行限制,允许每秒通过一个包
#该限制触发的条件是10个包
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。