基于Linux的防火墙设计
四、防火墙配置策略可以使用固定防火墙策略,即用配置工具或手动修改Iptables配置文件,(如:vi etc/sysconfig/iptables )Iptables服务读取配置文件,加载编写的规则脚本,这里使用的是非固定防火墙策略: 1.cat>fire_wall
在新建的fire1配置文件添加以下命令
(1)清空存在于所有链的规则 iptables -F iptables -X iptables -Z
(2)配置默认的拒绝规则。实际应用中配置的基本原则是:先拒绝所有的服务,然后再根据用户的需要设置相应的服务。参考配置程序如下: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #允许loopback!
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT –p tcp –dport 22 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #配置使得rh3访问rh1的HTTP,FTP,TELNET服务
iptables -A FORWARD -p tcp -i eth1 -o eth0 --dport 80 –s 192.168.1.4 -j ACCEPT iptables -A FORWARD -p tcp -o eth1 -i eth0 --sport 80 –s 192.168.1.4 -j ACCEPT iptables -A FORWARD -p tcp --dport 23 -j ACCEPT iptables -A FORWARD -p tcp --sport 23 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 20,21 -j ACCEPT iptables -A FORWARD -p tcp -m multiport --sport 20,21 -j ACCEPT
2.赋予脚本文件执行权限:chmod +X fire_wall 3.执行脚本:./fire_wall #对于rh1的浏览器有有: