Cómo configurar el firewall de iptables en Linux

Iptable -A Entrada -p Tcp -d dirección IP propia b --dPuerto puerto -J Rechazar

Máquina RedHat

cat /etc/sysconfig/ iptables

*filtro

:ENTRADA ACEPTAR [10276:1578052]

:ADELANTE ACEPTAR [0:0]

:SALIDA ACEPTAR [ 13784:16761487]

-A ENTRADA -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP

-A ENTRADA -s 172.16.0.0/255.240.0.0 - j DROP

-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 es la interfaz a Internet

# anti Sync Flood

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/seg -j ACCEPT

# anti escaneo de algunos puertos

-A ADELANTE -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/seg -j ACCEPT

# anti ping de la muerte

-A ADELANTE -p icmp -m icmp --icmp-tipo 8 -m límite --límite 1/seg -j ACEPTAR

COMPROMISO

chkconfig iptables en

Cada vez que inicie iptables en el futuro, leerá automáticamente el archivo de configuración (/etc/sysconfig/iptables)

Iniciar automáticamente

o / etc/rc.d/init.d/iptables start Iniciar manualmente

/etc/rc.d/init.d/iptables stop Detener manualmente

Construir un firewall en LINUX

linuxbird

Con la popularidad de Internet, el trabajo diario de las personas está cada vez más relacionado con él, por lo que cada vez más unidades han abierto servicios de acceso proxy a Internet para sus empleados. Pero cuando la red interna de una empresa está conectada a Internet, los recursos internos de la empresa son como corderos a la venta y corren el riesgo de ser sacrificados por otros. Por lo tanto, además de considerar razones internas como los virus informáticos y la solidez del sistema, la seguridad del sistema debe ser. También considere razones internas como virus informáticos y robustez del sistema. Lo más importante es evitar que usuarios ilegales se entrometan a través de Internet. Las medidas de prevención actuales se basan principalmente en la tecnología de firewall.

1. ¿Qué es un firewall?

Un firewall se refiere a una combinación de dispositivos de software o hardware que se ubica entre las computadoras de una empresa o grupo de redes y el canal externo (Internet). , restrinja el acceso de los usuarios externos a las redes internas y administre los permisos de los usuarios internos para acceder a las redes externas. El objetivo principal es controlar el acceso de ida y vuelta a la red protegida (es decir, puntos de red), obligando a inspeccionar y evaluar el paso de cada punto de conexión.

Desde su nacimiento hasta el presente, los firewalls han pasado por cuatro etapas de desarrollo: firewalls basados ​​en enrutadores, conjuntos de herramientas de firewall personalizados, firewalls integrados en sistemas operativos generales y firewalls con sistemas operativos seguros.

Actualmente, la mayoría de los proveedores de firewalls ofrecen firewalls que combinan software y hardware con sistemas operativos seguros, como NETEYE, NETSCREEN, TALENTIT, etc. Hay muchos programas de firewall en el sistema operativo LINUX. Además de IPCHAINS, que se presentará específicamente a continuación, hay muchos más, como Sinus Firewall, Jfwadmin, etc.

Los firewalls actuales se pueden dividir estructuralmente en dos tipos:

1) Estructura de host proxy

Red interna<----->Proxy Gateway (Proxy Gateway )<----->Internet

2) Enrutador más estructura de filtro

Red interna<----->Filtro (Filtro)<- --->Enrutador< ---->Internet

2. El principio de usar IPCHAINS para construir un firewall LAN

De hecho, en esencia, usar IPCHAINS para construir un firewall LAN también es una aplicación interactiva. en modo C/S. Generalmente, los servicios del servidor que proporcionan una función específica siempre son proporcionados por un programa en segundo plano específico. En las redes TCP/IP, este servicio específico suele estar vinculado a un puerto TCP o UDP específico. Después de eso, el programa en segundo plano escucha continuamente el puerto. Una vez que se recibe una solicitud de cliente calificada, el servicio establece una conexión con el cliente después de realizar un protocolo de enlace TCP y responde a la solicitud del cliente. Al mismo tiempo, se genera otra copia del enlace y continúa monitoreando las solicitudes de los clientes.

IPCHAINS es un SERVIDOR de este tipo. Todas las solicitudes de la intranet a Internet, o las solicitudes del exterior a la intranet, se monitorean, inspeccionan, evalúan, reenvían y rechazan.

Servicios, protocolos y puertos predeterminados de uso común.

Tipo de servicio Protocolo Puerto

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

3 Pasos para utilizar IPCHAINS como firewall

1. >

La versión actual de IPCHAINS ha sido desarrollada a 1.3.9. Generalmente, se instalará al instalar LINUX. De lo contrario, puede descargarlo desde www.linux.org. El siguiente autor utiliza TLC4.0 como ejemplo para instalar IPCHAINS. Dado que requiere el soporte de IP-MASQ, asegúrese de que el módulo IP-MASQ esté instalado.

En TLC4.0, coloque el CD en la unidad de CD-ROM,

#turbopkg

y seleccione ipchains, luego presione OK para instalarlo automáticamente.

Si estás descargando el paquete de instalación de ipchains:

1) Si es un paquete rpm:

#rpm –ivh *.rpm

2) Si es un paquete .tar.gz

#tar xvfz *.tar.gz (primero descomprima el paquete)

Vaya al directorio de descompresión

#./configure

#make

#make install

La instalación se realizó correctamente.

2. Habilite ipchains

Modifique manualmente el archivo /proc/sys/net/ipv4/ipforward y establezca su contenido en 1.

Utilice el comando táctil para crear el archivo rc.ipfwadm en el directorio /etc/rc.d/

Agréguelo al archivo rc.local en /etc/rc.d / directorio El siguiente código:

if [ -f /etc/rc.d/rc.ipfwadm ] entonces /etc/rc.d/rc.ipfwadm fi; Después de eso, todos los comandos de configuración de ipchains se modificarán en el archivo rc.ipfwadm.

3. Configurar ipchains (aplicación básica)

ipchains administra la máquina a través de la dirección IP de la máquina como una señal, por lo que primero debe asegurarse de que la dirección IP de la máquina ya esté en su LAN. asignado y familiar para usted.

Las reglas de configuración de Ipchains generalmente giran en torno a las tres reglas de entrada, salida e ipforward. La entrada se refiere a las reglas de filtrado para solicitudes de conexión interna, la salida se refiere a las reglas de filtrado para solicitudes de conexión externa e ipforward. Se refiere al reenvío de paquetes de comunicación internos y externos. El formato de comando de Ipchains es generalmente:

ipchains [ADC] reglas de ipchains [opciones de ipchains].

Para conocer el uso detallado del comando, consulte el documento CÓMO correspondiente.

Ahora asumimos que el segmento de red interna de la empresa es 192.168.1.0~192.168.1.255. La dirección IP del host del firewall es: 192.168.1.1. Se supone que el firewall actual es un proxy para Internet. acceso, rechazando todo telnet externo. Restrinja el acceso de los usuarios internos a sitios externos, otorgue privilegios a algunas máquinas para acceder a máquinas externas a voluntad, niegue el acceso a Internet a algunas máquinas internas, etc. El diagrama del segmento de red es:

+-------------+

| Segmento de red interna| 192.168.1.1 ISDN, PSDN

| +----------------|cortafuegos|<===============>Internet

| 192.168.1.0 | +--------+

+-------------+

Generalmente hay dos formas de configurar Reglas del firewall de ipchains:

1) Primero permitir todos los paquetes y luego prohibir que los paquetes peligrosos pasen a través del firewall

2) Primero prohibir todos los paquetes y luego permitir paquetes específicos según; los servicios requeridos. El paquete pasa a través del firewall.

En comparación, el segundo método es más seguro.

El siguiente es el contenido de mi archivo rc.ipfwadm:

/sbin/depmod –a

/*Carga automáticamente los módulos necesarios, si lo crees. Es peligroso, debe especificar manualmente el módulo de instalación. Puede especificar manualmente el módulo de carga como se muestra en el siguiente párrafo*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/. ip_masq_ftp

/*Cargar módulo ftp disfrazado de ip*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

/* Cargar módulo irc disfrazado de ip*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe /lib/modules/2.2. 10/ipv4/ ip_masq_user

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe -a -t /lib/modules/2.2 .10/ipv4 /ip_masq*

/*Cargar automáticamente módulos relacionados con camuflaje de ip*/

ipchains –F

/*Actualizar todas las reglas de ipchains*/

ipchains -P reenviar DENY

/*Rechazar reenviar todos los paquetes IP*/

/*Permitir el paso de paquetes específicos*/

/*Abrir un host con mayor autoridad*/

ipchains -A forward -s 192.168.1.10/32 -j MASQ

/*Permitir que el host interno 192.168.1.10 sea acceso sin restricciones. Por ejemplo, Gerente General */

ipchains -A forward -s 192.168.1.12/32 -j MASQ

/* Permite acceso sin restricciones al host interno 192.168.1.12.

Por ejemplo, como administrador del sistema, agregue */

ipchains -A forward -s 192.168.1.41/32 -j MASQ

/*por ejemplo, la dirección de host de Linuxbird: 192.168.1.41 */

/*Algunas máquinas no pueden conectarse externamente debido a la necesidad*/

ipchains -A forward -s 192.168.1.3/32 -j DENY

/ *Esta máquina es una máquina dedicada a documentos internos y no puede acceder al exterior*/

/*Configura el sitio al que los usuarios internos ordinarios pueden acceder*/

ipchains -A forward -d 202.101.98.55 /32 -j MASQ# FJ-DNS

ipchains -A forward -d 202.101.0.133/32 -j MASQ# FJ-DNS

/*Este es el DNS servidor para acceder a Internet. Utilizo el DNS de la Oficina de Telecomunicaciones de Fuzhou*/

/*Los siguientes son los sitios a los que los usuarios normales pueden acceder. Puede agregarlos, eliminarlos o modificarlos según sea necesario*/

ipchains -A adelante - d 202.101.98.50/32 -j MASQ

/* public.fz.fj.cn*/

ipchains -A adelante -d 202.101 .98.60/32 -j MASQ

/* pub5.fz.fj.cn*/

ipchains -A forward -d 202.96.44.14/24 -j MASQ

/*freemail.263.net*/

ipchains -A forward -d 202.99.11.120/32 -j MASQ

/*www.linuxaid.com.cn* /

ipchains -A adelante -d 205.227.44.44/24 -j MASQ

/* www.oracle.com*/

ipchains -A adelante - d 205.227.44.46/32 -j MASQ

/* lliance.oracle.com*/

#ipchains -A forward -d 205.227.44.237/32 -j MASQ

/* support.oracle .com*/

ipchains -A forward -d 209.246.5.38/24 -j MASQ

/* technet.oracle.com*/

ipchains - A forward -d 137.69.200.8/32 -j MASQ

/* www.legato.com*/

ipchains -A forward -d 202.96.125.102/32 -j MASQ

/*www.188.net*/

ipchains -A forward -d 207.105.83.51/32 -j MASQ

/* www.borland.com */

ipchains -A forward -d 207.46.131.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A adelante -d 207.46.130

.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A forward -d 204.146.81.99/32 -j MASQ

/* www.ibm.com*/

ipchains -A forward -d 202.102.24.74/24 -j MASQ

/* www.lodesoft.com*/

ipchains -A adelante -d 210.77.34.109/32 -j MASQ

/* www.csdn.net*/

ipchains -A adelante -d 192.138.151.66 /32 -j MASQ

/* www.sybase.com*/

ipchains -A forward -d 202.102.26.1/32 -j MASQ

/ * www.nari-china.com*/

ipchains -A forward -d 202.102.26.51/32 -j MASQ

/*www.aeps-info.com*/

ipchains -A forward -d 202.106.185.2/32 -j MASQ

/* www.sohu.com */

……