分享
 
 
 

简易防火墙建置与流量统计之三

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

第 4 章 封包过滤防火墙ipchains的操作规则

§ 4.1 ipchains规则

首先列出 ipchains 的规则表出来:

ipchains -L

分为三大部分:

input chains:输入时的过滤规则例如:

ipchains -A input -p tcp -s 192.168.1.3 -d 192.192.69.36 www -j DENY

禁止 192.168.1.3 的来源位址去存取目的地 192.192.69.36 的网页

forward chain :执行 IP 伪装的规则例如:

ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/24 -j MASQ

启动 192.168.1.0~255 的 IP 伪装

output chain:输出时的过滤规则(与 input 相反)例如:

ipchains -A output -p tcp -s 192.192.69.36 www -d 192.168.1.3 -j DENY

功用与 input 相同,只不过来源地址、目的地位址要对换

每个所设的规则必须要去符合情况,以及要做些什么(目标)。

举例来说,你可能要去拒绝从 IP 位址 192.168.1.3 的 ICMP 的封包,所以在这里我们的条件必须是协定 ICMP 及来源位址必须是 192.168.1.3,目的地为 192.192.69.39 这台主机(若不设则为全部),目标是’DENY’。

指令写法为:

ipchains -A input -p icmp -s 192.168.1.3 -d 192.192.73.35 -j REJECT

§ 4.2 命令的用法

增加新的规则 -A:

我们增加(-A)’input’的规则,要指明封包的来源位址(‘-s 192.168.1.3’)及协定

(‘-p ICMP’),及应该结果为拒绝(‘-j DENY’)。

范例:

ipchains -A input -s 192.168.1.3 -p icmp -j DENY

说明:拒绝来自192.168.1.3的icmp封包。

删除规则 -D:

我们删除 ipchains 规则有两种方法,首先我们知道在’input’的规则中只有一个(刚刚上面所增加的),也是第一个,所以我们可以使用数字来删除.。

范例:

ipchains -D input 1

说明:删除input规则中的第一条。

第二种方法是跟增加新的规则差不多,只不过是增加(-A)换成了删除(-D),这种方法在你如果设定了很多的规则的时候很好用,你可以不必去数它到底是第几个,只要照打一遍就行了,当然必须要一模一样才行。

范例:

ipchains -D input -s 192.168.1.3 -p icmp -j DENY

§ 4.3 指定协定种类

使用 '-p'来指定协定种类,其中协定分为 'TCP' (Transmission Control Protocol)、'UDP' (User Datagram Protocol)、'ICMP' (Internet Control Message Protocol)或是全部(all),在这的协定写法没有分大小写,能以数字代替协定。

在 /etc/protocols 中有注明各种协定,其中 tcp 为 6,udp 为 17,icmp 为 1。

TCP(传输控制协定):

位于应用层,如果应用程序(http、ftp)需要可靠性高的资料传输方式,那么就可以采用 TCP,TCP 会去检查资料是否安全到达,否则就重新发送资料。将传输的资料以 TCP 格式成为资料段,交由网络层的 IP 协定去处理,每一段资料含有一个检查值,接收者用它来验证资料是否受损,如果接收的资料没有损坏,会传回确认回去;如果资料有损会便会丢弃。TCP 具有可靠性及连线性。

UDP(使用者资料协定):

位于应用层,让应用程序直接使用封包传送服务,如 IP 提供的传送服务,UDP 协定并不会去检查封包是否安全到达目的地,因此传送速度快,但却是一个不可靠、非连线性的封包协定。

ICMP(网络控制讯息协定):

属于网际层的一部分,利用 IP 封包的传送,发送它的讯息,ICMP 发送的讯息执行了如侦测远端机器是否运作(‘ping’)、资料流的控制(当封包到得太快来不及处理时,目的主机传回一个 ICMP 的来源抑制讯息给发送者,告诉资料来源暂时停止传送封包)。

ICMP 并没有 port,但它还是有它的选项参数可以使用,用来选择 ICMP 的类型。

我们可以指定 ICMP 的名称或是数字代表(可以执行 ipchains -h icmp 去列出详细的名字)。

§ 4.4 指定UDP和TCP的port

指定来源和目的地的IP位址 -s -d :

来源(-s)和目的地(-d)的表示法有3种:

1. 使用完整的主称名称,例如:‘mouse.oit.edu.tw’ 或 ‘localhost’

2. 使用IP位址,例如:‘192.192.73.36’

3. 允许某范围的IP位址,例如:‘192.192.73.0/24’ 或 ‘192.192.73.0/255.255.255.0’ 两者是一样的,都是包含了192.192.73.0 ~ 192.192.73.255的IP位址。

在斜线(‘/’)的数字代表了IP位址,‘/24’是255.255.255.0,‘/32’是 255.255.255.255,其中比较重要的是’0/0’,指全部。

范例:

ipchains -A input -s 0/0 -j DENY

说明:

‘0/0’表示指定所有来源的 IP 位址都会被拒绝,你也可以不加’-s’参数,也是指定所有的来源 IP 位址。

§ 4.5 重要的指定目标

除了去指定协定之外,还可以细分去指定它的 port

例如:

指所有来源位址的 port 80,其中 80 也可以用名字来表示’www’

-p tcp -s 0.0.0.0/0 80

假如要 TCP 封包可以到达 192.168.0.1 的任何 port,但除了 www 这个 port:

-p tcp -d 192.168.0.1 ! www

其中惊叹号’!’放置的位址也可以这样指定:

-p tcp -d ! 192.168.0.1 www

也可以表示为不是 192.168.0.1 和 www 的 port:

-p tcp -d ! 192.168.0.1 ! www

§ 4.6 log 记录 /var/log/message

若你有加上’-l’选项的话,关于 ipchains 的讯息会被记录在 /var/log/message 档案中,在标准的 Linux 系统上,kernel 的输出讯息经由 klogd(kernel logging daemon)所记录。其中的记录为:

Jul 18 11:38:28 www kernel: Packet log: input REJECT eth0 PROTO=1

(1) (2) (3) (4) (5) (6) (7) (8)

192.168.1.3:8 192.168.1.1:0 L=60 S=0x00 I=7476 F=0x0000 T=32

(9) (10) (11) (12) (13) (14) (15)

ipchains记录:

(1) 日期、时间

(2) 主机名称

(3) 使用 kernel 来记录

(4) 指出从 ipchains 产生讯息

(5) 所使用的规则:input

(6) 规则的目标:REJECT

(7) 封包所经过的网络卡界面:eth0

(8) 协定号码:1(ICMP)、6(TCP)、17(UDP)

(9) 来源 IP 位址和 port

(10) 目的地 IP 位址和 port

(11) 封包的长度

(12) TOS(Type of service)

(13) IP 的 ID

(14) 资料段偏?/textarea>

</td>

</tr>

<tr align="center">

<td colspan="2">

<input type="submit" name="Submit" value="确定">

<input type="button" name="Cancel" value="取消" OnClick="javascript:window.location='http://www.linuxaid.com.cn/solution/solmgr/solslist.jsp?i=29'">

</td>

</tr>

</table>

</form>

</td>

</tr>

</table> <table width="100%" border="0" cellspacing="0" cellpadding="0">

<tr>

<td width="150"></td>

<td width="440"></td>

<td width="150"></td>

</tr>

<tr align="center" valign="middle">

<td colspan="3">

<hr size="1" color="#FF0000">

</td>

</tr>

<tr align="center" valign="middle">

<td> </td>

<td>〖关于我们〗〖技术成员〗〖合作机会〗〖联系方法〗〖<span >意见反馈</span>〗

© 2000 LinuxAid京ICP备010217号</td>

<td> </td>

</tr>

</table>

</body>

</html>

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有