基于Ipchains的Linux防火墙的安全设置

  众所周知,Linux可以作为一个优秀的防火墙软件使用。无论是结合Web或FTP网站使用,还是作为内部LAN的前端服务器,Linux都能够为构造满足用户特殊需求的防火墙提供必需的工具。
  ipchains内建于Linux内核,它是一个在系统之间拒绝、接受、路由数据包的基本防火墙工具。由于有了ipchains,再加上Linux操作系统固有的低成本优势,对于LAN或者连接Internet的企业网防火墙来说,Linux无疑是一种价廉物美的选择。
  防火墙类型
  Linux内核定义了三种类型的防火墙通信过滤,把不同的规则应用到各种通信方式就形成了功能极其广泛的防火墙。三种基本类型如下:
  输入防火墙(Input Firewall):所有传入的数据在接收之前都经过输入防火墙规则检查。
  输出防火墙(Output Firewall):所有传出的数据在发送之前都经过输出防火墙规则检查。
  转发防火墙(Forwarding Firewall):所有转发的数据在发送之前都经过转发防火墙规则检查。
  用户可以自己定义规则(或称为“链”,即chains),其作用相当于对三种基本防火墙规则的扩展。
  防火墙策略
  所有这三种规则类型以及用户定义的附加规则都有默认的策略,默认策略控制系统如何处理到达防火墙的特殊数据包。用户既可以对任何规则使用标准策略,也可以转入另一个用户定义的规则进一步处理。这些标准的策略为:
  ACCEPT(接受):允许数据包通过防火墙。
  REJECT(驳回):丢弃数据包,并发送一个ICMP错误消息给该数据包的发送者。这里的ICMP是指Internet Control Message Protocol,即Internet控制消息协议。
  DENY(拒绝):直接丢弃数据包,不向发送者提供任何错误信息。
  MASQ(伪装):伪装(Masquerade)数据包,使其看起来就像来自本地系统一样。当Linux用作路由器时这种策略尤其有用。
  REDIRECT(转发):不管数据包的目的地是哪里,把它转发到本地系统的指定端口。
  RETURN(返回):该策略只对用户定义规则有效,它是指直接返回调用链。如果在某种内核链上应用该策略,意味着脱离该链并用该链的默认策略取代。
  构造规则链
  ipchains构造规则链的方法相当简单,而且非常灵活。对于任何一个链,用户可以指定一系列选项,包括:
  协议类型(TCP,UDP,ICMP或者ALL)。
  数据包源地址(格式为:address[/mask] [port[:port]])。
  数据包目标地址(格式与源地址相同)。
  目标端口号(格式为:port[:port]])。
  ICMP包类型(ICMP消息的种类有很多,可以将规则指定到某种特定的类型)。
  规则所应用的接口(例如eth0)。
  还有其他一些选项,通过它们可以指定不同类型TCP包的优先级。例如,赋予FTP包比IRC(Internet Relay Chat)包更高的优先级。又如,为某些链提供日志记录;设置更加详细的选项,如包类型、大小等等。
  鉴于ipchains丰富的功能和选项的繁多,构建防火墙可能很简单,也可能异常复杂,这与具体的需求有关。简单的防火墙可以只由4到5个命令组成;复杂的防火墙可以由数百个ipchanins命令组成,锁定一切,只在用户需要的时候打开特定的服务和端口。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzgpwf.html