科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道slackware-10.1 下 adsl 拨号上网的 iptables 防火墙设置

slackware-10.1 下 adsl 拨号上网的 iptables 防火墙设置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

因为家里的机器是使用adls拨号上网,为了防止家伙们对我的机器作端口扫描,因此设置好防火墙显得比较重要起来。

作者:巧巧读书 来源:巧巧读书 2008年5月29日

关键字: ADSL ADSL应用

  • 评论
  • 分享微博
  • 分享邮件

  提要:

  因为家里的机器是使用adls拨号上网,为了防止家伙们对我的机器作端口扫描,因此设置好防火墙显得比较重要起来。

  我尝试了普通方式来设置iptables,发现一般的设置方法并不能很好的满足我的需要,主要是因为ppp的联结建立在放火墙脚本运行(通过手工编写 /etc/rc.d/rc.firewall)后。觉得更好的的方法是用rp-pppoe来调用你的防火墙设置,因为rp-pppoe的配置文件(/etc/ppp/pppoe.conf)中有一个选项,具体可以参考slackware下面/etc/ppp目录下的两个放火墙设置脚本,虽然是针对 ipchains写的,但可以换成iptabes改写。在ppp建立后,iptables的规则就可以生效了。

  在 /etc/ppp目录下有两个脚本firewall-masq和firewall-standalone,对应于/etc/ppp/pppoe.conf 中的两个选项 FIREWALL=MASQUERADE 或 FIREWALL= STANDALONE 这两个脚本都是基于ipchains的,

  通过 /usr/sbn/adsl-connect 脚本调用(被adsl-start间接调用)。

  下面是一个我写的一个基本的/etc/rc.d/rc.firewall示例

  #!/bin/sh

  # Start/stop/restart the firewall ($IPT)

  IPT="/usr/sbin/iptables"

  # Start firewall:

  firewall_start() {

  $IPT -P INPUT DROP

  $IPT -P FORWARD DROP

  $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  $IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT

  # SSHD

  $IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT

  # Bittorrent

  $IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT

  # BitTornado

  $IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT

  $IPT -A INPUT -p icmp -j ACCEPT

  }

  # Stop firewall:

  firewall_stop() {

  $IPT -P INPUT ACCEPT

  $IPT -P FORWARD ACCEPT

  $IPT -F

  $IPT -X

  }

  # Restart firewall:

  firewall_restart() {

  firewall_stop

  sleep 1

  firewall_start

  }

  case "$1" in

  'start')

  firewall_start

  ;;

  'stop')

  firewall_stop

  ;;

  'restart')

  firewall_restart

  ;;

  *)

  echo "usage $0 start|stop|restart"

  esac

  下面是用adsl-connect调用的改写后的/etc/ppp/firewall-standalone

  #!/bin/sh

  # Start the firewall ($IPT)

  IPT="/usr/sbin/iptables"

  $IPT -P INPUT DROP

  $IPT -P FORWARD DROP

  $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  $IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT

  # SSHD

  $IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT

  # Bittorrent

  $IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT

  # BitTornado

  $IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT

  $IPT -A INPUT -p icmp -j ACCEPT

  两种方法都可以对ppp0建立规则,但区别在ppp0连接前建立和连接后建立,那种更好,我也不知道:-P

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章