|
当前位置: Home > 防火墙 > 文章
|
|
|
怎样用ipchains构建防火墙
|
|
文章来源: Internet
文章作者: 未知
发布时间: 2002-04-24
字体:
[大
中
小]
|
|
|
9.设置domain包过滤
说明:domain端口为53,采用tcp或udp协议。规则为:允许所有来自Intranet和Internet的domain请求。笔者在用网络监视软件测试时,发现domain的请求端口都是大于1100的,但是找不到相关的解释。
#Donmain name server
#Allow domain request packets from Intranet clients to Internet domain servers
/sbin/ipchains -A input -p tcp -s 198.168.80.0/24 1100: -d 0.0.0.0/0 domain -i eth1 -j ACCEPT
/sbin/ipchains -A input -p udp -s 198.168.80.0/24 1100: -d 0.0.0.0/0 domain -i eth1 -j ACCEPT
#Allow domain response packets from Internet domain servers to Intranet clients
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 domain -d 198.168.80.0/24 1100: -i eth0 -j ACCEPT
/sbin/ipchains -A input -p udp -s 0.0.0.0/0 domain -d 198.168.80.0/24 1100: -i eth0 -j ACCEPT
10.设置icmp包过滤
说明:icmp包通常用于网络测试等,故允许所有的icmp包通过。(另:icmp包通常带来的危害为ping of death,但是高版本的linux内核已经包含了相应的措施来避免ping of death)
#Define icmp packets
/sbin/ipchains -A input -p icmp -j ACCEPT
11.设置缺省包过滤规则
说明:除了以上所允许通过的包以外,禁止其他包通过。
#Define all rules on input chain
/sbin/ipchains -A input -j DENY -l
通过以上个步骤,我们建立了一个相对完整的防火墙。该防火墙禁止除了提供基本服务以外的包通过。但是该防火墙还有不完善的地方,比如,某些搜索引擎会打开一个小于1024的但不常用的端口的连接,这样的包就无法通过该防火墙,从而使用户不能使用该搜索引擎。但是提高了网络的安全性,消除了安全隐患,所谓鱼与熊掌不可兼得,安全性重要还是服务重要就要看不同的情况了。
共4页: 上一页 [1] [2] [3] 4 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
