本应用的主要目的是对企业网提供各种服务的服务器提供保护,以使他们免受来自于外网 Internet 恶意用户和流量的攻击和危害。在配置过程中,需要根据本文前面部分介绍的知识进行规则编写等工作,具体的步骤如下: (1)建立有关的脚本文件:在 /etc/rc.d/ 目录下用 touch 命令建立空的脚本文件,执行 chmod 命令添加可执行权限。
(2)编辑 /etc/rc.d/rc.local 文件,在末尾加上 /etc/rc.d/firewall-for-networkservice 以确保开机时能自动执行该脚本,运行如下命令:
(3)使用 Vi 或者 Gedit 等编辑器编辑 /etc/rc.d/firewall-for-networkservice 文件,插入如下内容: 1)添加相关脚本信息,注意:脚本中的注释是采用“#”表示,而不是通常用的“//” # 添加脚本编写头部 # !/bin/bash # 在屏幕上显示信息 echo “Starting iptables rules …” # 开启内核转发功能 echo “1” >/proc/sys/net/ipv4/ip_forward 2)定义规则重要使用的相关变量
3)刷新基本的链规则,并禁止转发任意包
4)设置有关保护服务器的包过滤规则,并且注意由于服务器 / 客户机交互是双向的,所以不仅仅要设置数据包出去的规则,还要设置数据包返回的规则,如下所示:
(4)执行脚本,使配置规则立刻生效
到现在为止,有关使用防火墙来保障网络服务的配置就完成了,通过执行上面的脚本,我们建立了一个相对完整的防火墙。由于该防火墙只对外开放了有限的几个端口,因此能够有效地限制除这几个服务之外的流量进入,从而达到保证安全的目的。当然,这个例子还非常简单,用户还可以在实际中通过针对具体服务的细化防火墙配置,比如限制外部网络并发连接 WWW 服务的 TCP 请求个数、限制外网访问 FTP 服务器的 IP 地址列表等来进行。这里只是给出一个简要的示例,以达到抛砖引玉的目的。 作为本系列的第一篇文章,本文详细介绍 Netfilter/IPTables 防火墙框架的原理、安装、启动以及简单实战应用。在下一篇,我们将对应用 Netfilter/IPTables 防火墙框架进行 NAT、DMZ 应用进行介绍,并给出防火墙的实际安全部署建议。
学习
讨论
转自:http://www.ibm.com/developerworks/cn/linux/1307_liyang_firewall1/index.html?ca=drs- |