防火墙应用一

8.4.3　Linux防火墙应用一

(1)应用背景

某公司网络使用ADSL连入互联网。公司的网络管理员为了保护公司网络系统及信息资源的安全，需要在防火墙上设置网络访问规则，要求公司的主机只能访问外部www服务，公司内部Web和Email服务器能被外部主机访问，服务器的IP地址为222.17.10.110/24。网络拓扑如图8－1，其中防火墙使用Linux防火墙，通过iptables配置过滤规则。

(2)配置步骤

第一步，配置禁止转发任何包的策略(Policy)，当接收到的数据包不在已定义规则之内时，则该封包的通过与否，以Policy的设定为准。毫无疑问，不符规则的数据包，被认为是有问题的数据，禁止转发!下面的命令给出了禁止转发任何包的策略(Policy)的一种配置:

图8－1

iptables－P INPUT DROP

－P指定了这条命令就是配置一个策略。这一条命令将会构建一个非常“安全”的防火墙，因为它将所有从网络进入机器的数据都包丢弃(drop)了。这是对数据包最严格的处理，当然也是最后的处理。如果ping localhost，屏幕会一直停在那里，因为ping收不到任何回应。

第二步，配置允许接收来自内部主机数据包的规则。配置命令如下:

ptables－A INPUT－i! ppp0－j ACCEPT

该命令表示接受所有的，来源不是网络接口ppp0的数据包，即允许了局域网的访问，可以Ping通localhost。在此eth0连接局域网，loop是回环网(localhost)，ppp0是ADSL上网的互联网接口。如果是使用eth1连入互联网则类似。

第三步，配置允许接收DNS服务的数据包的规则。DNS服务使用UDP协议传输，并使用53号端口。配置命令如下:

iptables－A INPUT－i ppp0－p udp－sport53－j ACCEPT

该命令表示接受所有来自网络接口ppp0，upd协议的53端口的数据。如果不开放DNS服务端口，主机将无法访问外部服务器的域名。但是使用IP访问则不受限制，可是谁会知道或记得www.sina.com.cn的IP是多少呢?

第四步，配置允许接收www服务的数据包的规则。www服务使用TCP协议传输，并使用80号端口。配置命令如下:

iptables－A INPUT－i ppp0－p tcp－sport80－j ACCEPT

该命令表示接受所有来自网络接口ppp0，tcp协议的80端口的数据。80端口正是www服务所使用的端口。如果在浏览器的地址中输入www.sina.com.cn就可以看到网页。

第五步，配置允许接收访问内部www服务器222.17.10.110的数据包的规则。www服务使用TCP协议传输，并使用80号端口。配置命令如下:

iptables－A INPUT－i ppp0－p tcp－d 222.17.10.110－－dport80－j ACCEPT

该命令表示接受所有来自网络接口ppp0，访问IP为222.17.10.110的www服务器。80端口正是www服务所使用的端口。

第六步，配置允许接收访问内部Email服务器222.17.10.110的数据包的规则。Email服务由smtp和pop3服务构成，分别使用TCP协议25和110号端口。配置命令如下:

iptables－A INPUT－i ppp0－p tcp－d 222.17.10.110－－dport25－j ACCEPT

iptables－A INPUT－i ppp0－p tcp－d 222.17.10.110－－dport110－j ACCEPT

该命令表示接受所有来自网络接口ppp0，访问IP为222.17.10.110的Email服务器。

通过上面的六个主要步骤就可以完成公司的防火墙部署了。为了提高管理的效率，日后维护方便，可以将上面的内容写成脚本，方便维护。脚本编制如下: