包过滤防火墙配置举例

原创 2005年02月28日 15:09:00

包过滤防火墙配置举例<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1、网络说明:为了将内部网段192.168.0.0/24internet隔离,在内部网络和internet之间使用包过滤防火墙,防火墙的内网接口是eth1192.168.0.254)外网接口是(192.168.1.254)。内网有3台服务器对外提供服务

WWW 服务器:IP地址为192.168.0.251

FTP服务器:IP地址为192.168.0.252

E-MAIL服务器为:IP地址为192.168.0.253

2、建立包过滤防火墙

// 首先在/etc/rc.d/目录下生成空的脚本文件,并添加可执行权限

# touch /etc/rc.d/filter-firewall

# chmod  u+x /etc/rc.d/filter-firewall

//编辑/etc/rc.d/rc.local文件,使脚本能在系统启动时自动运行

# echo “/etc/rc.d/filter-firewall” >>/etc/rc.d/rc.local

编辑filter-firewall

//插入下面的内容

# !/bin/bash

# 在屏幕上显示信息

Echo “Starting iptables rules…..”

# 开启内核转发功能

Echo “<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1” >/proc/sys/net/ipv4/ip_forward

# 定义变量

IPT=/sbin/iptables

WWW-SERVER=192.168.0.251

FTP-SERVER=192.168.0.252

EMAIL-SERVER=192.168.0.253

IP_RANGE=192.168.0.0/24

# 刷新所有链的规则

$IPT –F

# 首先禁止所有转发的包,然后再进一步设置允许通过的包

# 首先设置防火墙FORWARD的策略为DROP

$IPT –P FORWARD DROP

# 设置服务器规则

1# 针对来自internet数据包的过滤规则

# WWW服务端口80采用tcpudp协议

$IPT –A FORWARD –p tcp –d $WWW-SERVER  --dport www –i eth0 –j ACCEPT

# ftp服务,命令端口21,数据端口20

$IPT –A FORWARD –p tcp –d $FTP_SERVER  --dport ftp –i eth0 –j ACCEPT

#email服务

$IPT –A FORWARD –p tcp –d $MAIL-SERVER –dport smtp –i eth0 –j ACCEPT

2、针对intranet的规则

//允许intranet客户采用被动模式访问internetFTP服务器

$IPT –A FORWARD –p tcp –s 0/0 –sport ftp-data –d $IP_RANGE –i eth0 –j ACCEPT

#  接受来自internet的非连接请求tcp

$IPT –A FORWARD –p tcp –d $IP_RANGE ! –syn –i eth0 –j ACCEPT

# 接收所有UDP

$IPT –A FORWARD –p udp –d $IP_RANGE –i eth0 –j ACCEPT

3、接收来自整个intranet的数据包过滤

$IPT –A FORWARD –s $IP_RANGE –i eth1 –j ACCEPT

# 处理ip碎片

$IPT –A FORWARD –f –m limit --limit 100/s --limit-burst 100 –j ACCEPT

# 设置ICMP包过滤

$IPT –A FORWARD –p icmp –m limit --limit 1/s --limit-burst 10 –j ACCEPT

 

 

 

写了个linux包过滤防火墙

花几天写了个so easy的Linux包过滤防火墙,估计实际意义不是很大。防火墙包括用户态执行程序和内核模块,内核模块完全可以用iptable代替。由于在编写的过程一开始写的是内核模块所以就直接用上来...
  • Ccreazy
  • Ccreazy
  • 2015年03月15日 22:17
  • 1130

网络安全:包过滤防火墙和代理防火墙(应用网关防火墙)

防火墙 包过滤防火墙 代理防火墙 应用网关防火墙 HTTP代理 SOCKS协议
  • azsx02
  • azsx02
  • 2017年04月02日 13:13
  • 1146

VC++实现数据包过滤(防火墙原理)

#include "stdafx.h"#include "xpktfilter.h"#include "xpktfilterDlg.h"#include "./xpktfilterdlg.h"#ifd...
  • yincheng01
  • yincheng01
  • 2009年03月29日 18:35
  • 3870

IP包过滤

IP包过滤2004-05-27 zzwinner  /*利用操作系统提供的API编写防火墙.该程序涉及到的API说明请访问微软的MSDN Library代码在C++ Builder 5编译通过如果您想...
  • godtorch
  • godtorch
  • 2005年02月12日 14:48
  • 707

Centos 7.2 配置防火墙

CentOS 7.0默认使用的是firewall作为防火墙,使用iptables必须重新设置一下 1、直接关闭防火墙 systemctl stop firewalld.service #停止fir...
  • hanzheng260561728
  • hanzheng260561728
  • 2016年05月07日 19:26
  • 1955

第十一章 Linux包过滤防火墙-netfilter--基于Linux3.10

11.1 netfilter框架 netfilter从Linux2.4引入linux内核,是现在3.10版本的防火墙框架,该框架可实现数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换...
  • shichaog
  • shichaog
  • 2015年03月25日 22:56
  • 2294

【Linux 驱动】Netfilter/iptables (五) 数据包过滤

通过前面的学习,我们窥探了整个Netfilter框架,下面我们就通过一些编程实例来进一步学习。一. 基于网络设备接口进行数据包过滤 根据hook函数接收的参数中的 struct net_device...
  • yeswenqian
  • yeswenqian
  • 2015年12月22日 14:48
  • 2044

基于Windows系统下网络数据包过滤方法的分析

1、windows的分层网络构架 可以把windows操作系统的网络构架粗略划分为6层,其中逻辑链路层、网络层和传输层都是通过传输驱动程序实现的,也叫做协议驱动程序。网络驱动接口标准(NDIS)用于...
  • chenyujing1234
  • chenyujing1234
  • 2012年07月31日 15:14
  • 6704

Libpcap库编程指南--过滤数据包

WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap...
  • thinkerleo1997
  • thinkerleo1997
  • 2017年09月13日 14:58
  • 177

防火墙

防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。是一种位于内部网络与外部网络之...
  • yaonianlong
  • yaonianlong
  • 2013年10月10日 08:47
  • 521
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:包过滤防火墙配置举例
举报原因:
原因补充:

(最多只允许输入30个字)