包过滤规则配置示例

最新推荐文章于 2024-07-21 10:51:50 发布
最新推荐文章于 2024-07-21 10:51:50 发布
阅读量7.4k 收藏 9
点赞数
分类专栏: linux 文章标签: 防火墙 网络 配置管理 服务器 vpn access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hem/article/details/9611
版权
 

包过滤规则配置示例

在东方龙马防火墙用户手册中第七章包过滤技术中,我们对包过滤规则中的各个参数进行了介绍,由于包过滤规则作为防火墙控制内外访问的一项重要依据,所以定制包过滤规则成为防火墙中比较关键的一个环节,下面对包过滤规则的各种配置情况做示例说明。

定制包过滤规则根据不同的需要会有很多种不同的情况,各条规则有其相似的地方,又有其特殊的不同,所以定制规则的方法,可以从大同中求小异,是不难掌握的。

本节将定制规则的各种情况进行归类,根据规则对数据包采取的操作可分成三种不同的配置情况,分别为:接受(Accept)、拒绝(Deny)和重定向(Divert)。下面将提供这三种配置举例:

配置接受(Accept)数据包的规则示例

接受数据包(即允许数据包通过)是定制规则时对数据包的一种处理操作。因为规则中默认规则是要求防火墙拒绝数据包的请求,如果需要对数据包采取接受的操作,必须对其进行规则设定,否则将会使用默认规则即拒绝传送该数据包。

这里同样采用用户手册中提到的图2-2网络规划配置拓扑示例图进行举例,如图7-8所示。定制规则来接受数据包,在实际应用中有很多这样的情况,例如:

  2. 允许网络中的某台主机(192.168.1.2)使用FTP访问另一网段中的主机(192.168.112.8)。

  3. 1,使用其他端口进行访问,如HTTPPOP3TelnetSMTP

  4. 允许网络中的一个网段(192.168.1.0)中的任意主机Telnet到主机(192.168.2.2)上。

 7-8 网络规划配置示例图

定制规则

我们将如上示例分别进行规则的定制,定制过程如下:

  2. 示例1中,定制规则时将需求翻译为:192.168.112.8 21端口接受来自192.168.1.2的数据包请求。其访问过程如图7-8中的箭头所示,这个过程是分为大致两个步骤:由主机192.168.1.2发送的数据包穿过防火墙;穿过防火墙的数据包发送到主机192.168.112.821端口。这两个步骤则需要两条规则,下面将分别进行说明:

    2. 首先在东方龙马防火墙的配置管理主界面导航目录中双击“包过滤”图标下的“规则设置”项,弹出“包过滤规则设置”窗口,如图7-1,在窗口中点击‘添加’按钮,将弹出如图7-2所示的添加规则控制块窗口。

    图7-1 规则设置窗口

    1.

    图7-2 添加规则控制块

    • 在添加控制块窗口中填写名称,尽量可读性好,可以定义为192.168.1.2 to192.168.112.8

    • 填写对名称的描述:可以为allow 192.168.1.2 access 192.168.112.8.

    • 填写规则使用的协议,为TCP协议。

    • 这样添加窗口中的内容如图7-9所示。

7-9 添加规则控制块示例-A

    1. B.添加由192.168.1.2发送的数据包穿过防火墙的规则。

      在如图7-9窗口中单击其中的‘添加’按钮,则弹出如图7-3所示的窗口用来添加规则中各项详细的属性,填写其中的项:

      图7-3 添加规则中的详细属性

    • 名称,定义此条规则的名称,可以为inbound,表示数据包进入防火墙。

    • 描述,对规则更详细的名称描述,可以定义为ip packet inbound firewall

    • 源地址、源地址掩码:数据包是由192.168.1.2地址发送的,所以此处192.168.1.2的地址作为源地址,因为是标识一台主机,所以其地址掩码为255.255.255.255

    • 源端口:源端主机可以使用任何端口访问目的主机的21端口,所以这里填写任意端口,用0表示。

    • 源端口操作:选择!=(不等于),与源端口配合,表示任意不等于0的端口。

    • 目的地址与目的地址掩码:尽管此条规则表明数据包是到达防火墙的过程,但其最终的目的地址为192.168.112.8,所以目的地址应该填写192.168.112.8,地址掩码仍然用255.255.255.255用来表示是一台主机。

    • 目的端口:规则中已详细说明,此规则描述了访问目的地址192.168.112.8FTP端口,所以应该填写21

    • 目的端口操作:它与目的端口共同限制端口,因为这里使用的端口明确,FTP端口是确定的,为‘=21’,所以这里源端口操作的运算符是‘=’。

    • 接口名:如图7-8的箭头所示,此规则定义的步骤数据包是通过网络接口卡eth1的,所以这里填写eth1

    • 网卡安全标志:此项参数和接口名相匹配,指明网卡的安全标识,因为eth1处于安全网卡中的LAN区域,所以这里填写LAN

    • 路由设定:数据包是穿过防火墙,而不是只发送到防火墙,防火墙这时起到路由的作用,所以选择Route

    • 方向:数据包传送到防火墙,其方向是进入防火墙,所以为Inbound

    • 隧道标识:可以不填。
    • 记录日志:选择记录日志,这里从下拉菜单中选中Yes
最低0.47元/天 解锁文章
hem
关注
专栏目录
DRF 3.x Filtering 过滤使用示例配置方法
Mr数据杨
01-27 3万+
大家好,我是Mr数据杨。想象一下,安装django-filter库就如同招募一位能够过滤信息的得力助手,比如像三国演义中的郭嘉。他的智谋和策略就像是Filtering 设置,为提供了决策的依据。而View视图和URL路由请求,就像是战争的战场和进军的路线,它们告诉我们应该在何处部署兵力。
X00060100 第27章 用访问控制列表实现过滤.pptx
06-29
1. **设置过滤功能的默认过滤规则**:可以通过命令 `[H3C]packet-filter default deny` 来将默认行为设置为拒绝所有未匹配规则的数据。 2. **创建ACL**: - 基本ACL:`[H3C]acl number acl-number` - 序号...
iptables应用案例分析--过滤
11-21
iptables应用案例分析--过滤,以实例说明iptables过滤的原理。
过滤防火墙配置举例
zsl的专栏
02-28 2471
过滤防火墙配置举例1、网络说明:为了将内部网段192.168.0.0/24和internet隔离,在内部网络和internet之间使用过滤防火墙防火墙的内网接口是eth1(192.168.0.254)外网接口是(192.168.1.254)。内网有3台服务器对外提供服务WWW 服务器:IP地址为192.168.0.251FTP服务器:IP地址为192.168.0.
防火墙的经典体系结构及其具体结构
最新发布
weixin_48579910的博客
07-21 1198
通过这些详细的结构图,可以更清晰地了解每种经典防火墙体系结构的组成部分及其工作原理。过滤防火墙:通过简单的规则集和过滤引擎控制数据的进出,适用于基础的网络边界防护。状态检测防火墙:通过维护状态表跟踪连接状态,提供更高的安全性,适用于需要更高安全性的网络环境。代理防火墙:通过应用代理中转流量,提供应用层的深度检查,适用于防范复杂应用层攻击的场景。下一代防火墙:集成多种高级功能,提供全面的安全防护和智能分析,适用于需要全面安全防护的大型网络环境。
netfilter 防火墙 过滤 实例
eqxu的专栏
06-19 1618
下面这个模块是用来将 #include #include static struct nf_hook_ops user_hook_ops= {   { NULL, NULL },   user_hookfn, //用户定义的钩子函数   PF_INET,   NF_IP_LOCAL_IN, //挂载点 。对于所有进入本机的数据括使用网络套接字的IPC),都是在此挂载点完成的过滤
过滤防火墙配置和应用
lalalalala~~
11-02 2828
实验目的:在linux系统下,过滤防火墙配置及其应用。 实验环境:装linux系统环境(一台:配置过滤防火墙)和安装Windows2003系统环境(一台:作客户端)。其中一台机器(linux系统)的网络名为:wcs.cloud.com;IP为:192.168.100.20,(配置防火墙在这台机器上);另一台机器(Windows系统)的网络名分别为:hh.cloud.com;IP为:192.168.100.55; 实验内容: 在linux系统下,安装iptables组件 设置策略、保存、恢复 ..
linux过滤防火墙配置
weixin_33875839的博客
07-29 373
公司通过DDN专线上网有一个公网IP段218.198.88.0/24,有三台服务器对外分别提供WWW、FTP、EMail服务。 WWW服务器:218.198.88.80 FTP服务器:218.198.88.21 EMail服务器:218.198.88.25 员工分配剩余IP地址。以上的IP地址都是Internet上的公有IP,故无需进行IP伪装 ⒉实现过...
H3C_ACL过滤基础配置案例
04-18
**整体配置示例** 以下是路由器RT和交换机SW的整体配置语句: ``` RT # interface GigabitEthernet0/0 port link-mode route ip address 10.1.1.1 255.255.255.252 # interface GigabitEthernet0/1 port link-...
5、Druid配置文件详细介绍以及示例
05-24
本文将深入探讨 Druid 配置文件的各个部分,并通过示例来说明其使用方法。 首先,配置文件的总体结构分为几个关键部分: 1. **type**:指定了数据摄取的方式,如 `index`(本地文件)、`index_hadoop`(HDFS 文件...
jsp filter 过滤器功能与简单用法示例
01-20
3. **链式处理**:一个过滤器链可以含多个过滤器,每个过滤器按照在`web.xml`中的配置顺序依次执行。每个过滤器执行完毕后,会将请求传递给下一个过滤器,直到到达目标Servlet或JSP。 **过滤器的实现** 要实现一...
过滤器的一个简单登陆实例
12-05
几乎每个系统都需要过滤器或者类似功能的工具来提升系统的安全性,这个实例能够完成过滤器最基本的入门。
过滤防火墙配置和应用实验.docx
01-06
过滤防火墙配置和应用实验.docx
过滤防火墙的设计与实现
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
过滤防火墙——iptables静态防火墙】的简单使用_centos 配置过滤防火墙
2401_83620690的博客
04-12 1107
防火墙就是堵和通的作用iptables :过滤防火墙,是内核防火墙netfilter的管理工具核心:四表五链。
iptables过滤防火墙
Dream wedding
05-12 4498
         iptables是管理netfilter的唯一工具;(netfilter是网络过滤器,或者网页内容过滤器),netfiletr直接嵌套在linux的内核上面。netfilter在内核中过滤,没有守护进程。它的过滤速度非常快,因为只读取数据头,不会给信息流量增加负担,也无需进行验证。        netfiletr提供一系列的表(tables),每个表有若干个链组成,每条链可以...
iptable
weixin_33768481的博客
04-23 644
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
防火墙安全策略
热门推荐
曹世宏的博客
05-17 8万+
过滤技术基础 过滤技术简介: 对需要转发的数据,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据进行转发或丢弃。 实现过滤的核心技术是访问控制列表。 过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。 传统的过滤防火墙对于需要转发的报文,会先获取报文头信息,括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...
过滤规则
IT之一小佬的博客
07-12 544
过滤规则
iptables基础配置规则示例详解
iptables是Linux系统中一个强大的过滤工具,它用于控制进出系统的网络数据。本文档提供了一些iptables配置实例,帮助用户理解和实践iptables的基本操作。以下是从提供的内容中提炼出的关键知识点: 1. **链的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值