找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5623|回复: 3

minifw 3.8 入门(6)自定义防火墙的设置

[复制链接]
发表于 2007-11-17 10:03:06 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
在本例中,防火墙位于网关的位置,所以我们主要是防止来自Internet的攻击,其次是配置好内网。

1、防止扫描

iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG,PSH,FIN,NONE -j DROP 1>/dev/null 2>&1
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG,PSH,FIN,NONE -j DROP

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 1>/dev/null 2>&1
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 1>/dev/null 2>&1
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

2、利用内置的LIMIT功能保护服务器(假如服务器IP=202.96.21.1)

iptables –A FORWARD –p tcp –d 202.96.21.1  -m limit –limit 1/s –j ACCEPT 1>/dev/null 2>&1
iptables –A FORWARD –p tcp –d 202.96.21.1  -m limit –limit 1/s –j ACCEPT
服务器地址202.96.21.1 将在一定程度上防止DOS攻击

3、防止ICMP重定向欺骗,启用ICMP错误消息保护,不响应ICMP echo广播和多播请求

iptables -A INPUT -p icmp --icmp-type echo-request -i eth1 -j DROP 1>/dev/null 2>&1
iptables -A INPUT -p icmp --icmp-type echo-request -i eth1 -j DROP

4、开启TCP-SYN- Flood攻击防御

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT 1>/dev/null 2>&1
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

5、防止广播包从IP代理服务器进入局域网:  

iptables -A INPUT -s 255.255.255.255 -i eth1 -j DROP 1>/dev/null
iptables -A INPUT -s 255.255.255.255 -i eth1 -j DROP
  
iptables -A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP 1>/dev/null 2>&1
iptables -A INPUT -s 224.0.0.0/224.0.0.0 -i eth1 -j DROP
  
iptables -A INPUT -d 0.0.0.0 -i eth1 -j DROP 1>/dev/null 2>&1
iptables -A INPUT -d 0.0.0.0 -i eth1 -j DROP

6、防止IP欺骗  
  
所谓的IP欺骗就是指在IP包中存在着不可能的IP源地址或目标地址。eth1是一个与外部Internet相连,而192.168.20.0则是内部网的网络号,也就是说,如果有一个包从eth1进入主机,而说自己的源地址是属于192.168.20.0网络,或者说它的目标地址是属于这个网络的,那么这显然是一种IP欺骗,所以我们使用DROP将这个包丢弃。

iptables -A INPUT -d 192.168.0.0/255.255.255.0 -i eth1 -j DROP 1>/dev/null 2>&1  
iptables -A INPUT -d 192.168.0.0/255.255.255.0 -i eth1 -j DROP

iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j DROP 1>/dev/null 2>&1  
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j DROP
  
同样的,如果有包要通过eth1向Internet,而且它的源地址或目标地址是属于网络192.168.20.0,那么显然也是不可能的。我们仍然使用DROP将它丢弃。

iptables -A OUTPUT -d 192.168.0.0/255.255.255.0 -o eth1 -j DROP 1>/dev/null 2>&1  
iptables -A OUTPUT -d 192.168.0.0/255.255.255.0 -o eth1 -j DROP

iptables -A OUTPUT -s 192.168.0.0/255.255.255.0 -o eth1 -j DROP 1>/dev/null 2>&1  
iptables -A OUTPUT -s 192.168.0.0/255.255.255.0 -o eth1 -j DROP


7、开通友好网站(不做透明代理、不过滤)

iptables -t nat -I PREROUTING -d 221.232.128.35 -p tcp --dport 80 -j ACCEPT 1>/dev/null 2>&1
iptables -t nat -I PREROUTING -d 221.232.128.35 -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -d 61.145.116.98 -p tcp --dport 80 -j ACCEPT 1>/dev/null 2>&1
iptables -t nat -I PREROUTING -d 61.145.116.98 -p tcp --dport 80 -j ACCEPT

8、设置上网时间

设置IP 192.168.2.3在周一到周五早上8点到下午6点能访问互联网

iptables -I FORWARD -s 192.168.2.3 -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT 1>/dev/null 2>&1
iptables -I FORWARD -s 192.168.2.3 -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT  

9、实现IP-MAC绑定管理

对局域网主机进行IP-MAC绑定,最大的好处就:如果某主机私自修改IP或者MAC,或者有外来人员私自接入企业局域网,都会被限制,使其无法访问Internet或者局域网,实现IP和MAC一一对应绑定后,不满足的将丢弃。

iptables -I FORWARD -s 192.168.0.0/24 -j DROP 1>/dev/null 2>&1
iptables -I FORWARD -s 192.168.0.0/24 -j DROP

iptables -I FORWARD -s 192.168.0.2 -m mac --mac-source 00:0E:0C:3B:F6A -j ACCEPT 1>/dev/null 2>&1
iptables -I FORWARD -s 192.168.0.2 -m mac --mac-source 00:0E:0C:3B:F6A -j ACCEPT

iptables -I FORWARD -s 192.168.0.3 -m mac --mac-source 00:0E:0C:3B:F6:1A -j ACCEPT 1>/dev/null 2>&1  
iptables -I FORWARD -s 192.168.0.3 -m mac --mac-source 00:0E:0C:3B:F6:1A -j ACCEPT

10、封闭高危或不良端口,如135、139等端口

iptables -A FORWARD -p tcp --dport 端口号 -j DROP 1>/dev/null 2>&1
iptables -A FORWARD -p tcp --dport 端口号 -j DROP

iptables -A FORWARD -p udp --dport 端口号 -j DROP 1>/dev/null 2>&1
iptables -A FORWARD -p udp --dport 端口号 -j DROP

11、封闭高危或不良IP

iptables -A FORWARD -p tcp -d 网络IP -j DROP 1>/dev/null 2>&1
iptables -A FORWARD -p tcp -d 网络IP -j DROP

12 、阻塞网络上所有的P2P连接请求

iptables -A FORWARD -m ipp2p -j DROP 1>/dev/null 2>&1
iptables -A FORWARD -m ipp2p -j DROP

13、 阻塞网络上fasttrack和bittorrent协议连接请求

iptables -A FORWARD -m ipp2p --p2p-protocol fasttrack,bittorrent -j DROP 1>/dev/null 2>&1
iptables -A FORWARD -m ipp2p --p2p-protocol fasttrack,bittorrent -j DROP

14、设置L7-PROTOCOLS过滤

百宝:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto 100bao -j DROP 1>/dev/null 2>&1
iptables -t mangle -A POSTROUTING -m layer7 --l7proto 100bao -j DROP

阻止bittorretn协议:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP 1>/dev/null 2>&1
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j DROP

阻止socks代理:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto socks -j DROP 1>/dev/null 2>&1
iptables -t mangle -A POSTROUTING -m layer7 --l7proto socks -j DROP


当然,还有好多设置,十分灵活,就看你对网络的要求啦!

以上只是抛砖,请各位高手指正,如果有更好的设置,别忘了要分享哦!
routeros
发表于 2007-11-17 11:03:40 | 显示全部楼层
提个建议,楼主为什么不写成脚本呢,有些参数用WEB界面取值不就可以了吗。
routeros
回复

使用道具 举报

发表于 2008-7-24 16:59:10 | 显示全部楼层
好文不得不支持
routeros
回复

使用道具 举报

发表于 2008-8-29 20:53:50 | 显示全部楼层
谢谢!学习学习!
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 08:12 , Processed in 0.070123 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表