关于iptables的协议封锁问题
本帖最后由 ygl23 于 2010-02-28 17:21 编辑
需求描述:
互联网接口:eth0
局域网接口:eth1
局域网地址:192.168.0.0/24
1.)配置针对的是由几个客户端和两个服务器构成的局域网络.服务(一个web,一个ftp)必须允许互联网访问.
2.)局域网络的系统可以通过防火墙向互联网发起下列类型的通信:
DNS查询,FTP传输,NTP查询,SSH会话,SMTP发信,访问HTTP站点,whois查询
除了允许访问上面列出的服务以外,所有其他通信都应被阻止.从局域网络或直接从防火墙上发起的会话都应该被iptables进行状态跟踪(不符合有效状态的数据包应尽早被记录并丢弃),防火墙提供NAT服务.
3.)此外,防火墙还应对从局域网络转发的任一外部IP地址的伪造数据包进行控制.
4.)防火墙本身必须允许局域网络的用户通过SSH进行访问,但不允许用户从任何其他地方访问.
5.)防火墙应该接受来自互联网和局域网的ICMP回显请求,但来自任何源IP地址的非回显请求的其他ICMP数据包应被丢弃.
6.)防火墙配置一个默认的日志记录和丢弃规则,以使离群的数据包,端口扫描或其它没有被允许的连接企图被丢弃并记录.
拓扑结构
+--------+ +---------------------+
| | | | +---------------+ +--------+
| 互联网 |------- | 防火墙 +----- | 局域网 +-----| 办公用户|
| | | | +---------------+ +--------+
+--------+ +---------------------+ | |
+----+ +---+
|web| |ftp|
+----+ +---+
问题描述:
第2.) 问题,防火墙的添加的协议限制规则,没有起到拦截的作用,局域网用户可以不受限制的访问互联网上的任何服务.[root@centos ~]# cat iptables.sh
#!/bin/bash
IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe
INT_NET=192.168.0.0/24
### flush existing rules and set chain policy setting to DROP
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
### load connection-tracking modules
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp
###### INPUT chain ######
echo "[+] Setting up INPUT chain ..."
### state tracking rules
$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID"
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### anti-spoofing rules
$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j DROP
### ACCEPT rules
$IPTABLES -A INPUT -i eth1 -p tcp -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
### default INPUT LOG rule
$IPTABLES -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
###### OUTPUT chain #######
echo "[+] Setting up OUTPUT chain ..."
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-option --log-tcp-options
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
### ACCEPT rules for allowing connections out
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p icmp --icmp-type echo-request -j ACCEPT
### defautl OUTPUT LOG rule
$IPTABLES -A OUTPUT -o ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
###### FORWARD chan ######
echo "[+] Setting up FORWARD chain ..."
### state tracking rules
$IPTABLES -A FORWARD -i eth1 -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-option --log-tcp-options
$IPTABLES -A FORWARD -i eth1 -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
### anti-spoofing rules
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j DROP
### ACCEPT rules
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 53 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
### default log rule
$IPTABLES -A FORWARD -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
###### NAT rules ######
echo "[+] Setting up NAT rules ..."
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.2:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.0.2:443
$IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2:21
$IPTABLES -t nat -A POSTROUTING -s $INT_NET -o eth0 -j MASQUERADE
###### forwarding ######
echo "[+] Enabling IP forwarding ..."
echo 1 > /proc/sys/net/ipv4/ip_forward
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
一群只看贴,不回贴的家伙.我自己顶:em12:
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
这三句都设置起了,那些规则还有什么用哦!没有配置到你的规则的内容都是允许通过的,可这好好看看《更安全的LINUX网络》这本书。对IPTABLES写得很清楚。
不错 不错
:em12::em12: