如何设置一个可靠的防火墙系统(3)

#允许内部用户通过防火墙防问外部FTP服务器 #ftp client (20 , 21) #response to ougoing request /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 21 -D $ISP_IP/32 1024:6553 5 #normal mode data channel /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S any/0 20 -D $ISP_IP/32 1024:65535 #passive mode data channel responses /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 1 024:65535

#允许内部用户通过防火墙向外部SMTP服务器发信 #smtp client (25) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 25 -D $ISP_IP/ 32 1024:65535

#允许内部用户把DNS设成外部互联网上的DNS服务器 #DNS client (53) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/ 32 1024:65535

#允许内部用户能访问互联网上的聊天室 #IRC client (6667) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 6667 -D $ISP_IP/32 1024:65 535

#允许内部用户能使用Realplay #RealAudio client #/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 554 7070 7071 #udp is the preferred method #/sbin/ipfwadm -I -a accept -P udp -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 697 0:7170

#允许防火墙运行xntpd与互联网上的时钟进行时钟同步 #NTP time clients (123) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S tock.usno.navy.mil 123 -D $ISP_IP/3 2 1024:65535

#允许内部用户可使用ICQ #ICQ client (4000) /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_I P/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/3 2 1024:65535

#允许所有的包能从防火墙外部接口输出 # allow all packets from external interface to output to outside world /sbin/ipfwadm -O -a accept -W eth0 -S $ISP_IP/32

echo "Done"

注：1. 在ICQ的使用过程中，我发现我可能一天中要运行多次ICQ规则才能确保内部网中用户可每时每刻连到ICQ服务器，因此我建了一个crontab工作象下面：

[root@sh-proxy rc.d]# crontab -e 15 7,8,15,16,20,22 * * * /usr/bin/icq 0 10 * * 1,2,3,4,5 /etc/rc.d/init.d/xntpd restart 0,20,40 * * * * /bin/sync

[root@sh-proxy rc.d]# more /usr/bin/icq #!/bin/sh ISP_IP=a.b.c.d /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535

2.本文的重点在于如何访止来自从互联网对防火墙的攻击，不能很好有效地防止来自内部网络中用户的攻击，如需要设置，可根据自己的公司环境设置。

3.本文设定防火墙所采用的工具为ipfwadm，对于Redhat 6.0或任何2.2内核的用户，请使用ipchains。

4.本文允许了许多服务，象Realplay,NTP,ICQ,SMTP,POP3,当然服务越多，安全性越差，可根据需要裁减。