扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
#允许内部用户通过防火墙防问外部FTP服务器 #ftp client (20 , 21) #response to ougoing request /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 21 -D $ISP_IP/32 1024:6553 5 #normal mode data channel /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S any/0 20 -D $ISP_IP/32 1024:65535 #passive mode data channel responses /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 1 024:65535
#允许内部用户通过防火墙向外部SMTP服务器发信 #smtp client (25) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 25 -D $ISP_IP/ 32 1024:65535
#允许内部用户把DNS设成外部互联网上的DNS服务器 #DNS client (53) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/ 32 1024:65535
#允许内部用户能访问互联网上的聊天室 #IRC client (6667) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 6667 -D $ISP_IP/32 1024:65 535
#允许内部用户能使用Realplay #RealAudio client #/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 554 7070 7071 #udp is the preferred method #/sbin/ipfwadm -I -a accept -P udp -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 697 0:7170
#允许防火墙运行xntpd与互联网上的时钟进行时钟同步 #NTP time clients (123) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S tock.usno.navy.mil 123 -D $ISP_IP/3 2 1024:65535
#允许内部用户可使用ICQ #ICQ client (4000) /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_I P/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/3 2 1024:65535
#允许所有的包能从防火墙外部接口输出 # allow all packets from external interface to output to outside world /sbin/ipfwadm -O -a accept -W eth0 -S $ISP_IP/32
echo "Done"
注:1. 在ICQ的使用过程中,我发现我可能一天中要运行多次ICQ规则才能确保内部网中用户可每时每刻连到ICQ服务器,因此我建了一个crontab工作象下面:
[root@sh-proxy rc.d]# crontab -e 15 7,8,15,16,20,22 * * * /usr/bin/icq 0 10 * * 1,2,3,4,5 /etc/rc.d/init.d/xntpd restart 0,20,40 * * * * /bin/sync
[root@sh-proxy rc.d]# more /usr/bin/icq #!/bin/sh ISP_IP=a.b.c.d /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535
2.本文的重点在于如何访止来自从互联网对防火墙的攻击,不能很好有效地防止来自内部网络中用户的攻击,如需要设置,可根据自己的公司环境设置。
3.本文设定防火墙所采用的工具为ipfwadm,对于Redhat 6.0或任何2.2内核的用户,请使用ipchains。
4.本文允许了许多服务,象Realplay,NTP,ICQ,SMTP,POP3,当然服务越多,安全性越差,可根据需要裁减。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。