人力资源-linux环境下的防火墙设计和配置VIP免费

Linux环境下的netfilter/iptables防火墙设计和配置（防火墙课程设计-linux篇）1问题和解答引言1）问：采用iptables如何限定QQ。答：QQ的source-port为4000，destination-port为8000只需要在FORWARD里加入一条规则就可以：iptables-AFORWARD-ieth0-pudp--dport8000-jDROP2）问：我不想开放我的端口，但我要在我的电脑上启用http服务，并对外服务。答：想开放除了80以外的端口你可以这样iptables-PINPUT–jDROP，用-P（大写字母）来拦截全部的通信，然后再来允许哪些端口可以被使用，结果可以这样写：iptables–AINPUT–ptcp–dport80–jACCEPT3）问：由于我采用了linux的iptables作为内外网络之间的隔离墙，想在内网的计算机系统上架设ftp服务可以供外部访问，我该怎么做？答：要用到iptables的一个强大的功能为端口映射了。举例如下：iptables-tnat-APREROUTING-ptcp-mtcp--dport25-jDNAT--to-destination192.168.0.6:25iptables-tnat-APOSTROUTING-s192.168.0.0/24-d192.168.0.6-ptcp-mtcp--dport25-jSNAT--to-source192.168.0.14）问：如何屏蔽对内部ping，其中eth0为与外部网络相连接。答：简单的iptables-AINPUT-picmp--icmp-typeecho-request-ieth0-jDROP5）问：设有一台计算机作为linux防火墙，有两块网卡，eth0与校园网相连接，ip为222.18.134.129；eth1与内部网络相连接，ip为192.168.0.1。现在需要把发往地址222.18.134.129的80端口的ip包转发到内网ip地址192.168.0.2的80端口，如何设置？答：iptables-tnat-APREROUTING-d222.18.134.129-ptcp-mtcp--dport80-jDNAT--to-destination192.168.0.2:80iptables-tnat-APOSTROUTING-s192.168.0.0/24-d192.168.0.2-ptcp-mtcp--dport80-jSNAT--to-source192.168.0.1是否忘了打开FORWARD链的相关端口。6）如何在Linux路由器下采用iptables防火墙构建DMZ（解答规则的实现中外部网内部网DMZ区Linux防火墙Eth0Eth1Eth2图1DMZ结构存在不完整的地方，请指出）？答：要构建一个带DMZ的防火墙，首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断，这是在INPUT链上完成。如果数据的目标地址属于DMZ网段，就要将数据转发到连接DMZ网络的网卡（eth1）上；如果是内部网络的地址，就要将数据转发到连接内部网络的网卡（eth2）上，如图1所示。各个网络之间的访问关系如下描述（6条访问控制策略）：(1)内网可以访问外网内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。(2)内网可以访问DMZ此策略是为了方便内网用户使用和管理DMZ中的服务器。(3)外网不能访问内网很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。(4)外网可以访问DMZDMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。(5)DMZ不能访问内网很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。(6)DMZ不能访问外网此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。DMZ实现：根据以上访问控制策略可以设定Linux防火墙的过滤规则。用户在实际应用时可根据具体的情况进行设置，设定虚拟环境的网络拓扑如图1。如图1所示，作为防火墙的Linux服务器使用三块网卡：网卡eth0与外部网络连接（或者通过路由器连接），网卡eth1与DMZ区的Hub或交换机相连接，网卡eth2与内网Hub或交换机相连接。对于防火墙，原则之一就是默认禁止所有数据通信，然后再打开必要的通信。所以在防火墙脚本的最初，需要清空系统原有的规则，然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包，对应的防火墙脚本片段如下：#清空系统原有的所有规则/sbin/iptables-F/sbin/iptables-X/sbin/iptables-tnat-F/sbin/iptables-tnat-X#默认丢弃所有数据包/sbin/iptables-PINPUTDROP/sbin/iptables-POUTPUTDROP/sbin/iptables-PFORWARDDROP完成6种策略的实现：(1)内网可以访问外网，对应的防火墙脚本片段如下：……/sbin/iptables-tnat-APOSTROUTING-s[内网地址]-d[外网地址]-oeth0-jSNAT--to[NA...