科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何设置一个可靠的防火墙系统(3)

如何设置一个可靠的防火墙系统(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

公司通过一条DDN专线与ISP相连,考虑用Linux服务器建立一个防火墙,内部网段采用192.168.11.0,防火墙外部接口网卡连接路由器然后与ISP路由器相连,并分配其外部接口网卡为一个互联网上的永久IP地址。

作者:51CTO.COM 2007年11月15日

关键字: 配置 防火墙 ISP Linux

  • 评论
  • 分享微博
  • 分享邮件

#允许内部用户通过防火墙防问外部FTP服务器 #ftp client (20 , 21) #response to ougoing request /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 21 -D $ISP_IP/32 1024:6553 5 #normal mode data channel /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S any/0 20 -D $ISP_IP/32 1024:65535 #passive mode data channel responses /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 1 024:65535

#允许内部用户通过防火墙向外部SMTP服务器发信 #smtp client (25) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 25 -D $ISP_IP/ 32 1024:65535

#允许内部用户把DNS设成外部互联网上的DNS服务器 #DNS client (53) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S 202.96.199.133/32 53 -D $ISP_IP/ 32 1024:65535

#允许内部用户能访问互联网上的聊天室 #IRC client (6667) /sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 6667 -D $ISP_IP/32 1024:65 535

#允许内部用户能使用Realplay #RealAudio client #/sbin/ipfwadm -I -a accept -P tcp -k -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 554 7070 7071 #udp is the preferred method #/sbin/ipfwadm -I -a accept -P udp -W eth0 -S any/0 1024:65535 -D $ISP_IP/32 697 0:7170

#允许防火墙运行xntpd与互联网上的时钟进行时钟同步 #NTP time clients (123) /sbin/ipfwadm -I -a accept -P udp -W eth0 -S tock.usno.navy.mil 123 -D $ISP_IP/3 2 1024:65535

#允许内部用户可使用ICQ #ICQ client (4000) /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_I P/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/3 2 1024:65535

#允许所有的包能从防火墙外部接口输出 # allow all packets from external interface to output to outside world /sbin/ipfwadm -O -a accept -W eth0 -S $ISP_IP/32

echo "Done"

注:1. 在ICQ的使用过程中,我发现我可能一天中要运行多次ICQ规则才能确保内部网中用户可每时每刻连到ICQ服务器,因此我建了一个crontab工作象下面:

[root@sh-proxy rc.d]# crontab -e 15 7,8,15,16,20,22 * * * /usr/bin/icq 0 10 * * 1,2,3,4,5 /etc/rc.d/init.d/xntpd restart 0,20,40 * * * * /bin/sync

[root@sh-proxy rc.d]# more /usr/bin/icq #!/bin/sh ISP_IP=a.b.c.d /sbin/ipfwadm -I -a accept -P udp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535 /sbin/ipfwadm -I -a accept -P tcp -b -W eth0 -S icq.mirabilis.com 4000 -D $ISP_IP/32 1024:65535

2.本文的重点在于如何访止来自从互联网对防火墙的攻击,不能很好有效地防止来自内部网络中用户的攻击,如需要设置,可根据自己的公司环境设置。

3.本文设定防火墙所采用的工具为ipfwadm,对于Redhat 6.0或任何2.2内核的用户,请使用ipchains。

4.本文允许了许多服务,象Realplay,NTP,ICQ,SMTP,POP3,当然服务越多,安全性越差,可根据需要裁减。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章