科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Linux免费防火墙试用手记(2)

Linux免费防火墙试用手记(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一个带有防火墙功能的路由器可以有效地消除这些危险。你可以把钱省下来,完全使用Linux内建的路由和防火墙的功能来达到目的。在很多情况下,你甚至可以把你的Linux服务器同时作为路由器使用。

作者:51CTO.COM 2007年11月11日

关键字: iptables Linux 服务 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  使用的命令

  对于Linux路由器来说,我们使用的其实只是内核中IP地址转发和防火墙部分。所以你根本不需要额外的软件,只需要一些命令脚本,为路由器在处理收到的数据包时所做的反应定一些规则。这其中包括一系列输入、输出和转发方面的规则。

  输入方面的规则要调整流入的数据包,比如,如果运行的是Web服务器,那么你可能想使用端口80来接收流入的数据包。输出方面的规则定义路由器是否允许数据被送到Internet,这常被用于拒绝与一些特定站点的连接(通过IP地址)。转发方面的规则,用于控制数据包从一个地方转发到另一个地方;通过在网络里定义特定的子网并且设置规则只允许一些子网可以转发信息,从而达到限制Internet访问的目的。

  设置过程

  在我所使用的Red Hat7 Linux路由器里,要管理防火墙的行为,我使用ipchains来设置规则(在Red Hat 6或者更早的版本里使用ipfwadm)。对于一些其它的Linux发行版,虽然名字可能不一样,但是功能却是完全一样的(比如,FreeBSD中要使用 ipfw)。在不同的发行版本中,防火墙命令的语法会有一些细微的差别(对于这些差别,可以用man命令来查看),不过,只要熟悉了其中一个版本中的配置,其它版本中的配置都是类似的。防火墙配置的管理最好的办法就是使用在系统启动过程中会调用的脚本。

  对于我例子中的脚本,我做如下说明:

  1. 我的路由器中有两个网卡(NIC),分别是eth0和eth1。

  2. eth0通过HUB连接到LAN,并且在192.168.1.0/24的网络中(24指的是子网)。

  3. eth1连接在线缆或者DSL调制解调器上,并且使用的IP地址是由ISP提供的207.1.1.1。

  默认情况下,Linux路由器会接收并且送出所有的信息,这相当于和下面一系列的命令等价:

  ipchains -F

  ipchains -P input ACCEPT

  ipchains -P output ACCEPT

  ipchains -P forward ACCEPT

  在本例中:

  * -F选项会重置所有规则,去除所有规则,然后重新开始配置。

  * -P选项告诉防火墙使用默认的规则,直到有新的规则对其进行改变。事实上,如果只使用默认规则,路由器将很容易受到攻击。

  从关到开

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章