科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何用奔腾机和Linux构建防火墙(6)

如何用奔腾机和Linux构建防火墙(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

老奔腾机完全可以胜任小型商业或家庭办公室的网络防火墙工作。ipchains 是 Linux 下的防火墙软件,其源码可以免费获得,并能够在老式奔腾机的 T-1 连网环境下工作。

作者:51CTO.COM 2007年11月13日

关键字: 防火墙 奔腾机 Linux ipchains

  • 评论
  • 分享微博
  • 分享邮件
-p TCP -s 192.168.1.24 -j ACCEPT 接受所有来自 Jane (192.168.1.24) 的包
-p TCP -d 192.168.0.0/19 -j DENY 否决所有到达 Bob, Fred 和 Jane 的 TCP 包
-p TCP -d 192.168.1.24 80 -j ACCEPT 接受到达 Jane 机器80端口的所有 TCP 包
-p TCP -d 192.168.1.24 www -j ACCEPT 和上一命令类似,但用 www 来表示缺省的 Web 服务器端口。在 /etc/services 文件中定义了此端口。
-p TCP -d 192.168.1.24 0:1024 -j DENY 否决所有要到 Jane 的0到1024范围中任何一个端口的 TCP 包。
-p TCP -d 192.168.1.24 www -j ACCEPT 接收要到 Jane 机器上 www 端口(缺省情况下即80端口)的所有 TCP 包。
-p TCP -d 192.168.1.24 ! www -j DENY D 否决要到 Jane 机器上 www 之外任何端口的 TCP 包。命令中的感叹后(!)表示对它后面的值取非,这里即用 ! www 来表示除了 www 之外的所有端口值。
-p TCP -d ! 192.168.1.24 www -j DENY 否决要到除了 Jane 之外的其他机器 www 端口的所有 TCP 包。注意这条命令与上一条并不相同。
-p TCP -d ! 192.168.1.24 ! www -j DENY 否决所有要到 Jane 之外的其他机器,并且非 www 端口的 TCP 包。也就是说,它允许那些到达 Jane 的 www 端口的 TCP 包。尽量不要用这样的规则,以免引起混乱。
-p ! TCP -d 192.168.1.24 -j DENY 否决所有要到 Jane 机器上的 TCP 之外的数据包。

对于 UDP 协议,其工作情况类似。而对于支持 ping 和 traceroute 的 ICMP 协议则需要指定端口.

-p ICMP -d 192.168.1.24 0 -j ACCEPT -p ICMP -d 192.168.1.24 8 -j ACCEPT 接受对 Jane 的 ping 包。为了让 ping 正常工作,这两条规则(ICMP 端口0 和 8)必须分开写。
-p ICMP -d 192.168.1.24 3 -j ACCEPT 如果 Jane 机器上的用户试图访问一个远程站点,所返回的“无法到达” ICMP 消息允许通过。访问一些远程机器的 telnet 或其他服务时,常有这种没有回应的情况发生,因此通常都会使用这条规则。
-p ICMP -d 192.168.1.24 11 -j DENY 否决来自防火墙外部 traceroute 命令的数据包。

除了地址和协议信息,您还可以指定通过包的网络接口驱动程序。如果要加入考虑数据包的来源,是比较容易的,在指定过滤规则应用的网络端口时也很有用。

-i eth0 -s 192.168.1.24 -j ACCEPT 使用第一块以太网卡 (eth0) 来接受所有来自 Jane 的数据包。
-i eth+ -s 192.168.1.24 -j ACCEPT 可以用任何一块网卡 (eth+) 来接受来自 Jane 的数据包。
-i ppp0 -p TCP -s 198.102.68.2 1025:65535 -j ACCEPT 通过 ppp 接口,来接受所有来自 familiar (198.102.68.2) 1025 到 65535 端口之间的 TCP 包。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章