Linux防火墙的配置要求如下:
1、 拒绝所有外面传入的、向外的和转发的包。
2、 允许所有外传的TCP连接:我们这里允许的如web/telnet/ssh/ftp等外传。
3、 允许外发的TCP连接的返回封包通过防火墙,需检查封包的状态。
4、 允许向外发送UDP连接在端口53上指定域名服务器,但只允许伟入的DNS封包进入内部的域名服务器chivas。
5、 创建允许内核从一个网络接口向另一个网络接口适当转发封包的规则:来自专网的向因特网传递的封包需从内部接口eth0向外部接口eth1转发。返回的封包以相反方向发送回来。
6、 在内核中启用IP转发功能。
构建一个基本的Linux防火墙
[root@linux-tys root]# sysctl –p -----设置IP转发
[root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward -----确认IP转发,可以见到结果为1
[root@lg root]# iptables –F -----清除预设表filter中所有规则链的规则
[root@lg root]# iptables –X -----清除预设表filter中自定义规则链的规则
[root@lg root]# iptables –F –t mangle -----清除表mangle中所有规则链的规则
[root@lg root]# iptables –t mangle -X -----清除表mangle中所有自定义规则链的规则
[root@lg root]# iptables –F –t nat -----清除表nat中所有规则链的规则
[root@lg root]# iptables –t nat -X -----清除表nat中所有自定义规则链的规则
[root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT
[root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
[root@linux-tys root]# iptables -P INPUT DROP
[root@linux-tys root]# iptables -P OUTPUT DROP
[root@linux-tys root]# iptables -P FORWARD DROP
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ----此两行为在回送接口上允许内部网络流量
[root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo
[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW
-----此规则设置新建和已建的TCP连接的封包将会通过eth1向外转发,不指明源和目标地址代表任何地址
[root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT --这条允许来自专网到达专网接口的所有流量,下面一条规则则是检查到达外部网络接口的每个封包,属于已有连接通过
[root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
以下配置规则使之从一个网络接口转发到另一个:第一条规则接收所有来自专网的封包,并被转发到外网卡eth1上;第二条规则到达外部网络接口eth1上的封包,如属于已有连接,则转发到内网。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
最后建立NAT规则,POSTROUTING表封包送出时需要翻译,该规则设置为对流出外部网络接口eth1的封包起作用,并将源地址变为eth1的地址。
[root@linux-tys root]# modprobe iptable_nat ----加载NAT模块
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
备份和恢复
1、备份防火墙设置:[root@lg root]# iptables-save>iptablesrules.txt 本次设为iptablesdefault.txt
2、删除防火墙设置:[root@lg root]# iptables –F 删除所有的链。
3、恢复防火墙设置:[root@lg root]# iptables-restore iptablesrules.txt
使防火墙自动化
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动
[root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----保存后则可用这个命令来控制其状态
使用自定义链整固防火墙
基本规则并不检查除TCP连接状态以外的事项,可通过自定义的链来扩展基本防火墙以助于处理增加的复杂性,更为复杂的规则集可指定哪一个TCP端口可以使用以及连接的源地址。同时创建特定的规则来处理单个连接可以减少黑客利用端口的机会。
修改后的防火墙配置如下:
1、首先也是启用转发,清空所有规则,设默认为DROP,在回送接口上允许所有内部网络流量。然后我们将创建两条自定义链来处理从专网和外网接口到达的封包。下面是SSH的访问要保留。
2、创建一个PRIV链来处理来自专用网络的流量。这个链传递已有返回的封包,进入防火墙的SSH封包,以及目的地为因特网的FTP、SSH和HTTP封包,然后将INPUT链规则导向到这一个链上。
[root@linux-tys root]# iptables -N PRIV
[root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp –s 192.168.1.0/24 –d 192.168.1.254 --dport 22 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p udp –d 0/0 --dport 53 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT
[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV
[root@linux-tys root]# iptables -A OUTPUT –o eth0 -j PRIV