项目三配置企业包过滤防火墙
【任务说明】
企业现计划用一台Llinux服务器充当网关。为了保障企业内部的网络安全,需要使用Linux服务器系统的防火墙功能,做适当的配置,以确保企业内网的安全,具体要求如下
(1) 允许内网Samba,SMTPPOP3
(2) 允许DNS连接;
(3) 允许外网VPN连接;
(4) 为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃;
(5) 禁止icmp通信即不允许ping;
(6) 内网转发;
(7) 防止轻量级的SYN攻击;
(8) 允许VPN客户走VPN网络连接外网;
【任务实施】
第一步:配置网关服务器IP地址
一般作为NAT的计算机同时也是局域网的网关,该机有两块网卡eth0、eth1,eth连接内网,IP地址为192.168.223.254;eth1连接局域网,IP地址为202.21.88.88
通过相关命令配置服务器的IP地址。
第二步:打开服务器的路由转发功能
【echo 1>/proc/sys/net/ipv4/ip_forward】
第三步:允许内网Samba,SMTP,POP3连接
【iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT】允许Samba连接
【iptables -A INPUT -p tcp -m multiport--dports 110,80,25 -j ACCEPT】允许SMTP连接
【iptables -A INPUT -p tcp -s192.168.0.0/24 --dport 53 -j ACCEPT】
第四步:允许DNS连接
【iptables -A INPUT -i eth1 -p udp -mmultiport --dports 53 -j ACCEPT】
第五步:允许外网VPN连接
【iptables-A INPUT -p tcp --dport 1723 -j ACCEPT】
【iptables -A INPUT -p gre -j ACCEPT】
第六步:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
【iptables -A INPUT -s 192.168.0.0/24 -ptcp -m state --state ESTABLISHED,RELATED -j ACCEPT】
【iptables -A INPUT -i ppp0 -p tcp --syn-m connlimit --connlimit-above 15 -j DROP】
第七步:禁止icmp通信
【iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO--log-prefix "ICMP packet IN:"】
【iptables -A INPUT -p icmp -j DROP】
第八步:内网转发
【iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE】
第九步:防止轻量级的SYN攻击
【iptables -N syn-flood】
【iptables -A INPUT -p tcp --syn -j syn-flood】
【iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -jRETURN】
【iptables -A syn-flood -j REJECT】
第十步:允许VPN客户走VPN网络连接外网
【iptables -P FORWARD DROP】
【iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports80,110,21,25,1723 -j ACCEPT】
【iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT】
【iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT】
【iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT】
第十一步 隐藏防火墙的存在
【iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset】
第十三步:IP规则的保存与恢复
【ptables-save > /etc/sysconfig/iptables】
【service iptables save】