733防火墙的设置 妒实例72设置防火墙 在终端窗口执行 system- config- securitylevel命令,打开【安全级别设置】窗口,如图7-441 所示。可以启用或停用防火墙。 %下面是一个 iptables的脚本实例,读者要根据自己的环境需求进行相应的调整。 INET IF="ppo"#外网接口 LAN IF=eth0" 内网接口 LAN IP RANGE="192168.1.024”#内网P地址范围,用于NAT #定义变量 MODPROBE="/sbin/modprobe SMODPROBE ip tables #下面9行加载相关模块 SMOdPROBE iptable nat SMODPROBEip nat ftp SMODPROBE ip nat irc SMODPROBEipt mark SMODPROBE ip conntrack SMODPROBE ip conntrack ftp SMODPROBE ipt MASQUERADE for table in filter nat mangle;do#清除所有防火墙规则 SIPT-t STABLE -F SIPT-t STABLE -X SIPT-P INPUT DROP #下面6行设置 filter和nat表的默认策略 SIPT-POUTPUT ACCEPT SIPT-P FORWARD DROP SIPT-t nat-P PREROUTING ACCEPT SIPT-t nat-P POSTROUTING ACCEPT SIPT-t nat-P OUTPUT ACCEPT #允许内网 samba、smp和pop3连接 SIPT-AINPUT-m state -state ESTABLISHED, RELATED-jACCEPT SIPT-A INPUT-p tcp-m multiport--dports 1863, 443, 110, 80, 25-j ACCEPT SIPT-AINPUT-p tcp-S SLAN IP RANGE--dport 139-jACCEPT #允许dns连接 SIPT-A SLAN_IF-p udp-m multiport-dports 53-jACCEPT #为了防止Dos攻击,可以最多允许15个初始连接,超过的将被丢弃 SIPT-A INPUT-S SLAN IP RANGE-ptcp-m state -state ESTABLISHED, RELATED-jACCEPT SIPT-AINPUT-ISINET IF-p tcp--syn- m connlimit--connlimit-above 15-j DROP SIPT-AINPUT-S SLAN_ IP_ RANGE-ptcp-syn-m connlimit--connlimit-above 15-jDROP #设置icmp阈值,记录攻击行为 SIPT-AINPUT-p icmp-m limit--limit 3/s-j LOG--log-level INFO--log-prefix "ICMP packet IN: SIPT-A INPUT-p icmp- m limit--limit 6/m-j ACCEPT SIPT-AINPUT-P icmp-j DROP #开放的端口 SIPT-AINPUT-P TCP-i SINET_IF -dport 21 - ACCEPT FTP SIPT-A INPUT-P TCP-I SINET_IF -dport 22-jACCEPT # SSH SIPT-A INPUT-P TCP-I SINET IF-dport 25-jACCEPT SMTP SIPT-AINPUT-p UDP-iSINET IF--dport 53-jACCEPT DNS SIPT-A INPUT-p TCP-I SINET_ IF --dport 53-jACCEPT DNS7.3.3 防火墙的设置 实例 7-2 设置防火墙 在终端窗口执行 system-config-securitylevel 命令，打开【安全级别设置】窗口，如图 7-44 所示。可以启用或停用防火墙。 下面是一个 iptables 的脚本实例，读者要根据自己的环境需求进行相应的调整。 #!/bin/bash INET_IF="ppp0" #外网接口 LAN_IF="eth0" #内网接口 LAN_IP_RANGE="192.168.1.0/24" #内网 IP 地址范围，用于 NAT IPT="/sbin/iptables" #定义变量 MODPROBE="/sbin/modprobe" $MODPROBE ip_tables #下面 9 行加载相关模块 $MODPROBE iptable_nat $MODPROBE ip_nat_ftp $MODPROBE ip_nat_irc $MODPROBE ipt_mark $MODPROBE ip_conntrack $MODPROBE ip_conntrack_ftp $MODPROBE ip_conntrack_irc $MODPROBE ipt_MASQUERADE for TABLE in filter nat mangle ; do # 清除所有防火墙规则 $IPT -t $TABLE -F $IPT -t $TABLE -X done $IPT -P INPUT DROP #下面 6 行设置 filter 和 nat 表的默认策略 $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT #允许内网 samba、smtp 和 pop3 连接 $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp -m multiport --dports 1863,443,110,80,25 -j ACCEPT $IPT -A INPUT -p tcp -s $LAN_IP_RANGE --dport 139 -j ACCEPT #允许 dns 连接 $IPT -A INPUT -i $LAN_IF -p udp -m multiport --dports 53 -j ACCEPT #为了防止 Dos 攻击，可以最多允许 15 个初始连接，超过的将被丢弃 $IPT -A INPUT -s $LAN_IP_RANGE -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -i $INET_IF -p tcp --syn -m connlimit --connlimit-above 15 -j DROP $IPT -A INPUT -s $LAN_IP_RANGE -p tcp --syn -m connlimit --connlimit-above 15 -j DROP #设置 icmp 阈值，记录攻击行为 $IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: " $IPT -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT $IPT -A INPUT -p icmp -j DROP #开放的端口 $IPT -A INPUT -p TCP -i $INET_IF --dport 21 -j ACCEPT # FTP $IPT -A INPUT -p TCP -i $INET_IF --dport 22 -j ACCEPT # SSH $IPT -A INPUT -p TCP -i $INET_IF --dport 25 -j ACCEPT # SMTP $IPT -A INPUT -p UDP -i $INET_IF --dport 53 -j ACCEPT # DNS $IPT -A INPUT -p TCP -i $INET_IF --dport 53 -j ACCEPT # DNS