欧美a片无限看在线观看免费_ 用iptales實(shí)現包過(guò)濾型防火墻(二)---web開(kāi)發(fā)者手冊

四、 iptables使

es使用實(shí)例

首先讓我們看一下服務(wù)器/客戶(hù)機的交互原理。服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺程序提供的。在TCP/IP網(wǎng)絡(luò )中，常常把這個(gè)特定的服務(wù)綁定到特定的TCP或UDP端口。之后，該后臺程序就不斷地監聽(tīng)（listen)該端口，一旦接收到符合條件的客戶(hù)端請求，該服務(wù)進(jìn)行TCP握手后就同客戶(hù)端建立一個(gè)連接，響應客戶(hù)請求。與此同時(shí)，再產(chǎn)生一個(gè)該綁定的拷貝，繼續監聽(tīng)客戶(hù)端的請求。

舉一個(gè)具體的例子：假設網(wǎng)絡(luò )中有一臺服務(wù)器A(IP地址為1.1.1.1)提供WWW服務(wù)，另有客戶(hù)機B(2.2.2.2)、C(3.3.3.3)。首先，服務(wù)器A運行提供WWW服務(wù)的后臺程序（比如Apache）并且把該服務(wù)綁定到端口80，也就是說(shuō)，在端口80進(jìn)行監聽(tīng)。當B發(fā)起一個(gè)連接請求時(shí),B將打開(kāi)一個(gè)大于1024的連接端口(1024內為已定義端口),假設為1037。A在接收到請求后，用80端口與B建立連接以響應B的請求，同時(shí)產(chǎn)生一個(gè)80端口綁定的拷貝，繼續監聽(tīng)客戶(hù)端的請求。假如A又接收到C的連接請求（設連接請求端口為1071），則A在與C建立連接的同時(shí)又產(chǎn)生一個(gè)80端口綁定的拷貝繼續監聽(tīng)客戶(hù)端的請求。如下所示，因為系統是以源地址、源端口、目的地址、目的端口來(lái)標識一個(gè)連接的，所以在這里每個(gè)連接都是唯一的。

服務(wù)器客戶(hù)端
連接1：a.b.c.1:80 <=> a.b.c.4:1037
連接2：a.b.c.1:80 <=> a.b.c.7:1071

每一種特定的服務(wù)都有自己特定的端口，一般說(shuō)來(lái)小于1024的端口多為保留端口，或者說(shuō)是已定義端口，低端口分配給眾所周知的服務(wù)（如WWW、FTP等等），從512到1024的端口通常保留給特殊的UNIX TCP/IP應用程序，具體情況請參考/etc/services文件或RFC1700。

假設網(wǎng)絡(luò )環(huán)境如下：某一單位，租用DDN專(zhuān)線(xiàn)上網(wǎng)，網(wǎng)絡(luò )拓撲如下：

+--------------+
| 內部網(wǎng)段 | eth1+--------+eth0 DDN
| +------------|firewall|<===============>Internet
| 198.168.80.0 | +--------+
+--------------+
eth0: 198.199.37.254
eth1: 198.168.80.254

以上的IP地址都是Internet上真實(shí)的IP，故沒(méi)有用到IP欺騙。并且，我們假設在內部網(wǎng)中存在以下服務(wù)器：
www服務(wù)器：www.yourdomain.com 198.168.80.11
ftp服務(wù)器：ftp.yourdomain.com 198.168.80.12
email服務(wù)器：mail.yourdomain.com 198.168.80.13

下面我們將用iptables一步一步地來(lái)建立我們的包過(guò)濾防火墻，需要說(shuō)明的是，在這個(gè)例子中，我們主要是對內部的各種服務(wù)器提供保護。

1.在/etc/rc.d/目錄下用touch命令建立firewall文件，執行chmod u+x firewll以更改文件屬性，編輯/etc/rc.d/rc.local文件，在末尾加上 /etc/rc.d/firewall 以確保開(kāi)機時(shí)能自動(dòng)執行該腳本。

2. 刷新所有的鏈的規則
#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

3. 我們將首先禁止轉發(fā)任何包，然后再一步步設置允許通過(guò)的包。
所以首先設置防火墻FORWARD鏈的策略為DROP：

/sbin/iptables -P FORWARD DROP

4.設置關(guān)于服務(wù)器的包過(guò)慮規則：

在這里需要注意的是，服務(wù)器/客戶(hù)機交互是有來(lái)有往的，也就是說(shuō)是雙向的，所以我們不僅僅要設置數據包出去的規則，還要設置數據包返回的規則，我們先建立針對來(lái)自Internet數據包的過(guò)慮規則。

WWW服務(wù)：服務(wù)端口為80，采用tcp或udp協(xié)議。規則為：eth0=>允許目的為內部網(wǎng)WWW服務(wù)器的包。

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

FTP服務(wù)：FTP服務(wù)有點(diǎn)特別，因為需要兩個(gè)端口，因為FTP有命令通道和數據通道。其中命令端口為21，數據端口為20，并且有主動(dòng)和消極兩種服務(wù)模式，其消極模式連接過(guò)程為：FTP客戶(hù)端首先向FTP服務(wù)器發(fā)起連接請求，三步握手后建立命令通道，然后由FTP服務(wù)器請求建立數據通道，成功后開(kāi)始傳輸數據，現在大多數FTP客戶(hù)端均支持消極模式，因為這種模式可以提高安全性。FTP服務(wù)采用tcp協(xié)議。規則為：eth0=>僅允許目的為內部網(wǎng)ftp服務(wù)器的包。

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

EMAIL服務(wù)：包含兩個(gè)協(xié)議，一是smtp，一是pop3。出于安全性考慮，通常只提供對內的pop3服務(wù)，所以在這里我們只考慮針對smtp的安全性問(wèn)題。smtp端口為21，采用tcp協(xié)議。eth0=>僅允許目的為email服務(wù)器的smtp請求。

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j ACCEPT

5. 設置針對Intranet客戶(hù)的過(guò)慮規則：

在本例中我們的防火墻位于網(wǎng)關(guān)的位置，所以我們主要是防止來(lái)自Internet的攻擊，不能防止來(lái)自Intranet的攻擊。假如我們的服務(wù)器都是基于linux的，也可以在每一部服務(wù)器上設置相關(guān)的過(guò)慮規則來(lái)防止來(lái)自Intranet的攻擊。對于Internet對Intranet客戶(hù)的返回包，我們定義如下規則。

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

說(shuō)明：第一條允許Intranet客戶(hù)采用消極模式訪(fǎng)問(wèn)Internet的FTP服務(wù)器；第二條接收來(lái)自Internet的非連接請求tcp包；最后一條接收所有udp包，主要是針對oicq等使用udp的服務(wù)。

6. 接受來(lái)自整個(gè)Intranet的數據包過(guò)慮，我們定義如下規則：

#############Define packets from Internet server to Intranet server###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

7. 處理ip碎片

我們接受所有的ip碎片，但采用limit匹配擴展對其單位時(shí)間可以通過(guò)的ip碎片數量進(jìn)行限制，以防止ip碎片攻擊。

#################################Define fregment rule##################################
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

說(shuō)明：對不管來(lái)自哪里的ip碎片都進(jìn)行限制，允許每秒通過(guò)100個(gè)ip碎片，該限制觸發(fā)的條件是100個(gè)ip碎片。

8. 設置icmp包過(guò)濾

icmp包通常用于網(wǎng)絡(luò )測試等，故允許所有的icmp包通過(guò)。但是黑客常常采用icmp進(jìn)行攻擊，如ping of death等，所以我們采用limit匹配擴展加以限制：

#################################Define icmp rule##################################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

說(shuō)明：對不管來(lái)自哪里的icmp包都進(jìn)行限制，允許每秒通過(guò)一個(gè)包，該限制觸發(fā)的條件是10個(gè)包。

通過(guò)以上個(gè)步驟，我們建立了一個(gè)相對完整的防火墻。只對外開(kāi)放了有限的幾個(gè)端口，同時(shí)提供了客戶(hù)對Internet的無(wú)縫訪(fǎng)問(wèn)，并且對ip碎片攻擊和icmp的ping of death提供了有效的防護手段。以下是完整的腳本文件內容，希望通過(guò)這個(gè)實(shí)例能是對iptables的用法有所了解：

#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j ACCEPT

#############Define packets from Intranet to Internet###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

#################################Define fregment rule##################################
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

#################################Define icmp rule##################################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

五、 iptables與ipchains的區別

　　·iptables的缺省鏈的名稱(chēng)從小寫(xiě)換成大寫(xiě)，并且意義不再相同：INPUT和OUTPUT分別放置對目的地址是本機以及本機發(fā)出的數據包的過(guò)慮規則。
　　·-i選項現在只代表輸入網(wǎng)絡(luò )接口，輸入網(wǎng)絡(luò )接口則使用-o選項。
　　·TCP和UDP端口現在需要用--source-port或--sport（或--destination-port/--dport）選項拼寫(xiě)出來(lái)并且必須置于"-p tcp"或"-p udp"選項之后，因為它們分別是載入TCP和UDP擴展的。
　　·以前TCP的"-y"標志現在改為"--syn"，并且必須置于"-p tcp"之后。
　　·原來(lái)的DENY目標最后改為了DROP。
　　·可以在列表顯示單個(gè)鏈的同時(shí)將其清空。
　　·可以在清空內建鏈的同時(shí)將策略計數器清零。
　　·列表顯示鏈時(shí)可顯示計數器的當前瞬時(shí)值。
　　·REJECT和LOG現在變成了擴展目標，即意味著(zhù)它們成為獨立的內核模塊。
　　·鏈名可以長(cháng)達31個(gè)字符。
　　·MASQ現在改為MASQUERADE，并且使用不同的語(yǔ)法。REDIRECT保留原名稱(chēng)，但也改變了所使用的語(yǔ)法。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久