近来有些地方病毒泛滥。贡献自己写的防火墙

gouf123

eth1接外网eth0接内编辑/etc/sysctl.conf文件，并确认net.ipv4.ip_forward = 1#重新设置策略链并删除已有规则iptables --policy INPUT ACCEPTiptables --policy OUTPUT ACCEPTiptables --policy FORWARD ACCEPTiptables --flushiptables --flush -t nat#设置基本的过滤规则，从而拒绝所有的网络流量iptables --policy INPUT DROPiptables --policy OUTPUT DROPiptables --policy FORWARD DROP#在回送接口允许所有内部网络流量iptables -A OUTPUT -j ACCEPT -i loiptables -A INPUT -j ACCEPT -o lo#配置向外方向的TCP规则，其中，-state ESTABLISHED,NEW参数指定要检查哪个状态。ESTABLISHED标志匹配属于已有的TCP连接的封包。NEW标志指定试图创建一条新TCP连接的第一个封包，这条规则指明属于新建的和已建立的TCP连接的封包将会通过eth1端口想外发送。iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW#检查到达外部网络接口的封包状态。属于已有TCP连接的封包都允许通过iptables -A INPUT -i eth1 -p -m state --state ESTABLISHED,RELATED -j ACCEPT#配置封包从一个端口转发到另一个iptables -A FORWARD -i eth0 -j ACCEPTiptables -A FORWARD -j eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT#下面对源地址进行转换iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to a.b.c.d#adsl用下面的命令iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

gouf123

把以上内容加到/etc/rc.local里面就可以了。我写的注释大家就不要加了啊

DreamCat

对病毒有用么？。。。。。。。。。

smile787

支持楼主，不过，没有加规则，对病毒的抵制还不够哦。。希望再加些，辛苦了

gouf123

请大家注意看看，这是单向出口的防火墙。任何从外部主动进入的数据都被DROP了。主要是怕大家受攻击。我是先DROP所有的数据。然后只允许从内部向外发送数据和允许从内部建立连接的数据可以返回并通过。应该够大家普通用途了。

liusimin

呵呵这个是网络防火墙吧？真的来病毒我看还是不行啊楼主一定要努力点再汇编一个LINUX的文件防火墙才是正道啊

DreamCat

原始意义的病毒只是感染本机，不通过网络传播，但是现在的病毒，如蠕虫病毒会主动通过特定端口感染其他机器，实际上也是利用了系统的漏洞，但是不管怎么说，我们也只能实现网络防火墙，至于防止主动传播的病毒只是附带的实现吧。所以有必要更正楼主的说法，实现的仅仅是网络防火墙。不对包内数据过滤还不能称为病毒防火墙。

gouf123

谢谢几位兄弟的更正：）