Linux 服务器系统的安全配置(7)

7．2．1 ipchains概念：
Ipchains 被用来安装、维护、检查Linux内核的防火墙规则。规则可以分成四类：IP input链、IP output链、IP forward链、user defined 链。
一个防火墙规则指定包的格式和目标。当一个包进来时, 核心使用input链来决定它的命运。 如果它通过了, 那么核心将决定包下一步该发往何处(这一步叫路由)。假如它是送往另一台机器的, 核心就运用forward链。如果不匹配，进入目标值所指定的下一条链，那有可能是一条user defined链，或者是一个特定值: ACCEPT，DENY，REJECT，MASQ，REDIRECT，RETURN。
ACCEPT意味着允许包通过，DENY 扔掉包就象没有受到过一样，REJECT也把包扔掉，但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者，目的地址无法到达（请注意DENY和REJECT对于ICMP包是一样的）。
　　MASQ 告诉核心伪装此包，它只对forward 链和user defined链起作用，想让它起作用, 编译核心时必需让 IP Masquerading 起作用。
　　REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 '-j REDIRECT' 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用，编译内核时，必须让CONFIG_IP_TRANSPARENT_PROXY起作用。
　　最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。
　　任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了，包将通过当前链的下一个规则。
7．2．2 ipchains实例：
    ##清除input规则的规则，并改变input默认的规则链策略为REJECT
-F input
-P input REJECT
##以下是允许input规则链的tcp端口为：80 81 22 123
-A input -s 0/0 -d 0/0 80 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 81 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 123 -p udp -j ACCEPT
##设置除了以上允许的input规则链以为，拒绝0－1023、2049、6000－6009、7100的tcp和upd端口，
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
##允许系本身统网卡上发生的所有包通过
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
##清除output规则的规则，并改变output默认的规则链策略为ACCEPT
-F output
-P output ACCEPT
##清除forward规则的规则，并改变forward默认的规则链策略为DENY,设置了forward规则链允许对10.10.11.0/24网段的包可以转发并且做伪装处理。
-F forward
-P forward DENY
-A forward -s 10.10.11.0/24 -j MASQ
< --end-- >