Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1512498
  • 博文数量: 297
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 3082
  • 用 户 组: 普通用户
  • 注册时间: 2007-02-07 11:36
文章分类

全部博文(297)

文章存档

2011年(1)

2009年(45)

2008年(67)

2007年(184)

我的朋友

分类: LINUX

2007-09-11 13:24:40

EMAIL服务:包含两个协议,一是smtp,一是pop3。出于安全性考虑,通常只提供对内的pop3服务,所以在这里我们只考虑针对smtp的安全性问题。smtp端口为21,采用tcp协议。eth0=>仅允许目的为email服务器的smtp请求。

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j
ACCEPT

5.
设置针对Intranet客户的过虑规则:

在本例中我们的防火墙位于网关的位置,所以我们主要是防止来自Internet的攻击,不能防止来自Intranet的攻击。假如我们的服务器都是基于linux的,也可以在每一部服务器上设置相关的过虑规则来防止来自Intranet的攻击。对于InternetIntranet客户的返回包,我们定义如下规则。

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i
eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

说明:第一条允许Intranet客户采用消极模式访问InternetFTP服务器;第二条接收来自Internet的非连接请求tcp包;最后一条接收所有udp包,主要是针对oicq等使用udp的服务。

6.
接受来自整个Intranet的数据包过虑,我们定义如下规则:

#############Define packets from Internet server to Intranet server###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

7.
处理ip碎片

我们接受所有的ip碎片,但采用limit匹配扩展对其单位时间可以通过的ip碎片数量进行限制,以防止ip碎片攻击。

#################################Define fregment rule##################################
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j
ACCEPT

说明:对不管来自哪里的ip碎片都进行限制,允许每秒通过100ip碎片,该限制触发的条件是100ip碎片。

8.
设置icmp包过滤

icmp
包通常用于网络测试等,故允许所有的icmp包通过。但是黑客常常采用icmp进行攻击,如ping
of death
等,所以我们采用limit匹配扩展加以限制:

######################Define icmp rules###################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j
ACCEPT

说明:对不管来自哪里的icmp包都进行限制,允许每秒通过一个包,该限制触发的条件是10个包。
阅读(1275) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~