科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何设置一个可靠的防火墙系统(2)

如何设置一个可靠的防火墙系统(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

公司通过一条DDN专线与ISP相连,考虑用Linux服务器建立一个防火墙,内部网段采用192.168.11.0,防火墙外部接口网卡连接路由器然后与ISP路由器相连,并分配其外部接口网卡为一个互联网上的永久IP地址。

作者:51CTO.COM 2007年11月15日

关键字: 配置 ISP Linux 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  #设定防火墙外部网卡接口的永久IP地址

  ISP_IP=a.b.c.d

  #接受所有在本地环路接口上的进出包 # setup Loopback interface /sbin/ipfwadm -I -a accept -W lo /sbin/ipfwadm -O -a accept -W lo

  #允许内部网段所有用户随意进出防火墙的内部网卡接口 # allow all internal traffic /sbin/ipfwadm -I -a accept -W eth1 -S 192.168.11.0/24 /sbin/ipfwadm -O -a accept -W eth1 -D 192.168.11.0/24

  # 阻止任何的IP包欺骗,看下面的各个规则 # disabling IP spoof

  #阻止任何C类保留地址从防火墙外部接口进出 /sbin/ipfwadm -I -a deny -W eth0 -S 192.168.0.0/16 /sbin/ipfwadm -O -a deny -W eth0 -D 192.168.0.0/16

  #阻止任何进出防火墙外部接口的包宣称是来自它本身 /sbin/ipfwadm -I -a deny -W eth0 -S $ISP_IP/32 /sbin/ipfwadm -O -a deny -W eth0 -D $ISP_IP/32

  #阻止任何外部世界直接与防火墙内部网段直接通讯 /sbin/ipfwadm -I -a deny -W eth0 -D 192.168.0.0/16 /sbin/ipfwadm -O -a deny -W eth0 -S 192.168.0.0/16

  #阻止任何包宣称是或来自本地环路接口 #refuse packets claiming to be to or from the loopback interface /sbin/ipfwadm -I -a deny -W eth0 -S 127.0.0.0/8 /sbin/ipfwadm -I -a deny -W eth0 -D 127.0.0.0/8 /sbin/ipfwadm -O -a deny -W eth0 -S 127.0.0.0/8 /sbin/ipfwadm -O -a deny -W eth0 -D 127.0.0.0/8

  #禁止任何来自外部的广播包,不论是去往哪里 #refuse broadcast address source packets /sbin/ipfwadm -I -a deny -W eth0 -S 255.255.255.255 /sbin/ipfwadm -I -a deny -W eth0 -D 0.0.0.0

  #refuse multicast/anycast/broadcast address /sbin/ipfwadm -I -a deny -W eth0 -S 240.0.0.0/3

  #转发在内部网段内的经过防火墙内部接口的包 #forwarding all internal traffic /sbin/ipfwadm -F -a accept -W eth1 -S 192.168.11.0/24 -D 192.168.11.0/24

  #设置IP伪装规则,允许部分机器经过防火墙时进行伪装 #setup IP Masquerading rules /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.11/32 /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.12/32 /sbin/ipfwadm -F -a accept -m -W eth0 -S 192.168.11.13/32

  #阻止以ICMP协议从外部世界进行攻击 #prevent denial of service attacks based on ICMP bombs /sbin/ipfwadm -I -a accept -P icmp -W eth0 -S any/0 0 3 4 11 12 -D $ISP_IP/32 /sbin/ipfwadm -O -a accept -P icmp -W eth0 -S $ISP_IP/32 3 4 8 12 -D 0.0.0.0/0

  #允许内部用户通过防火墙访问外部HTTP服务器 #http client (80) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 80 -D $ISP_IP/32 1024:6553 5

  #允许内部用户通过防火墙防问外部HTTPS服务器 #https client (443) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 443 -D $ISP_IP/32 1024:655 35

  #允许内部用户通过防火墙从外部POP3服务器收信 #pop3 client (110) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 110 -D $ISP_IP/32 1024:655 35

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号