返回
linux环境下的防火墙设计和配置.doc

linux环境下的防火墙设计和配置.doc

ID:50961749

大小:123.00 KB

页数:20页

时间:2020-03-16

linux环境下的防火墙设计和配置.doc_第1页
linux环境下的防火墙设计和配置.doc_第2页
linux环境下的防火墙设计和配置.doc_第3页
linux环境下的防火墙设计和配置.doc_第4页
linux环境下的防火墙设计和配置.doc_第5页
资源描述:

《linux环境下的防火墙设计和配置.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Linux环境下的netfilter/iptables防火墙设计和配置(防火墙课程设计-linux篇)1问题和解答引言1)问:采用iptables如何限定QQ。答:QQ的source-port为4000,destination-port为8000只需要在FORWARD里加入一条规则就可以:iptables-AFORWARD-ieth0-pudp--dport8000-jDROP2)问:我不想开放我的端口,但我要在我的电脑上启用http服务,并对外服务。答:想开放除了80以外的端口你可以这样iptables-PINPUT–jDROP,用-P(大写字母)来拦

2、截全部的通信,然后再来允许哪些端口可以被使用,结果可以这样写:iptables–AINPUT–ptcp–dport80–jACCEPT3)问:由于我采用了linux的iptables作为内外网络之间的隔离墙,想在内网的计算机系统上架设ftp服务可以供外部访问,我该怎么做?答:要用到iptables的一个强大的功能为端口映射了。举例如下:iptables-tnat-APREROUTING-ptcp-mtcp--dport25-jDNAT--to-destination192.168.0.6:25iptables-tnat-APOSTROUTING-s192

3、.168.0.0/24-d192.168.0.6-ptcp-mtcp--dport25-jSNAT--to-source192.168.0.14)问:如何屏蔽对内部ping,其中eth0为与外部网络相连接。答:简单的iptables-AINPUT-picmp--icmp-typeecho-request-ieth0-jDROP5)问:设有一台计算机作为linux防火墙,有两块网卡,eth0与校园网相连接,ip为222.18.134.129;eth1与内部网络相连接,ip为192.168.0.1。现在需要把发往地址222.18.134.129的80端口的i

4、p包转发到内网ip地址192.168.0.2的80端口,如何设置?答:iptables-tnat-APREROUTING-d222.18.134.129-ptcp-mtcp--dport80-jDNAT--to-destination192.168.0.2:80iptables-tnat-APOSTROUTING-s192.168.0.0/24-d192.168.0.2-ptcp-mtcp--dport80-jSNAT--to-source192.168.0.1是否忘了打开FORWARD链的相关端口。6)如何在Linux路由器下采用iptables防火墙

5、构建DMZ(解答规则的实现中存在不完整的地方,请指出)?答第20页:要构建一个带DMZ的防火墙,首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断,这是在INPUT链上完成。如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(eth1)上;如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(eth2)上,如图1所示。各个网络之间的访问关系如下描述(6条访问控制策略):(1)内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。(2)内网可以访问DMZ此策略是为了方便内网用户使用和管理

6、DMZ中的服务器。(3)外网不能访问内网很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。(4)外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。(5)DMZ不能访问内网很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。(6)DMZ不能访问外网此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。外部网内部网DMZ区Linux防火墙Eth0Eth1Eth2图1DMZ结

7、构ØDMZ实现:根据以上访问控制策略可以设定Linux防火墙的过滤规则。用户在实际应用时可根据具体的情况进行设置,设定虚拟环境的网络拓扑如图1。如图1所示,作为防火墙的Linux服务器使用三块网卡:网卡eth0与外部网络连接(或者通过路由器连接),网卡eth1与DMZ区的Hub或交换机相连接,网卡eth2与内网Hub或交换机相连接。对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包,对应的防火墙脚本片段如下:#清空

8、系统原有的所有规则/sbin/iptables-F/sbin/iptables-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。