策略需求:
定义一个有效的防火墙配置需求,该配置针对的是几个由客户端机器和两个服务器构成的网络。服务器(一个web服务器和一个DNS服务器)必须可以从外部网络访问。内部网络的系统可通过防火墙向外部服务器发起下列类型的通信:
-
域名系统(DNS)查询
-
文件传输协议(FTP)传输
-
网络时间协议(NTP)查询
-
安全Shell(SSH)会话
-
简单邮件传输协议(SMTP)会话
-
通过HTTP/HTTPS/进行Web会话
-
whois查询
除了允许访问上面列出的服务以外,所有其他通信都应被阻止。从内部网络或直接从防火墙上发起的会话都应该被iptables进行状态跟踪(那些不符合有效状态定义的数据包应迟早被记录并丢弃),防火墙还应提供NAT服务。
此外,防火墙还应对从内部网络转发给任一外部IP地址的伪造数据库进行控制。
-
防火墙本身必须允许内部网络的用户通过SSH进行访问,但不允许用户从任何其他地方访问,除非防火墙上运行一个用于验证的fwknop(端口碰撞)。SSH应该是防火墙上运行的唯一一个服务器进程。
-
防火墙应接受来自内部和外部网络的ICMP回应请求,但来自任何源IP地址的非回应请求的其它ICMP数据包应被丢弃。
-
最后,防火墙应配置一个默认的日志记录和丢弃规则,以使任何离群的数据包,端口扫描或其他没有明确允许的连接企图被记录并丢弃。
为了简化建立iptables策略的任务,假设只有一个内部网络,并且它使用的是一个不可路由的网络地址192.168.10.0,具有C类子网掩码255.255.255.0(或使用CIDR表示法/24)。
防火墙上的内部网络接口(见下图)是eth1,IP地址为192.168.10.1,所有内部主机都以这个地址为它们的默认网关。这使得内部系统发往192.168.10.0/24子网以外系统的所有数据包都必须路由经过防火墙。防火墙上的外部接口是eth0,为保持网络的不可知性,指定这个外部接口的IP地址为71.157.X.X。
下图中列出了两个恶意系统,一个在内部网络中(192.168.10.200,主机名int_scanner),另一个在外部网络中(144.202.X.X,主机名ext_scanner)。
OS: CentOS 5.4
Kernel: 2.6.18-164.el5
Iptables : 1.3.5 - 1.3.7
阅读(953) | 评论(0) | 转发(0) |
fw.sh.txt 