Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1743397
  • 博文数量: 391
  • 博客积分: 8464
  • 博客等级: 中将
  • 技术积分: 4589
  • 用 户 组: 普通用户
  • 注册时间: 2008-12-13 15:12
个人简介

狮子的雄心,骆驼的耐力,孩子的执著!

文章分类

全部博文(391)

文章存档

2023年(4)

2018年(9)

2017年(13)

2016年(18)

2014年(7)

2013年(29)

2012年(61)

2011年(49)

2010年(84)

2009年(95)

2008年(22)

分类: 网络与安全

2010-02-28 17:22:55

需求描述:
互联网接口:eth0
局域网接口:eth1
局域网地址:192.168.0.0/24
1.)配置针对的是由几个客户端和两个服务器构成的局域网络.服务(一个web,一个ftp)必须允许互联网访问.

2.)局域网络的系统可以通过防火墙向互联网发起下列类型的通信:
DNS查询,FTP传输,NTP查询,SSH会话,SMTP发信,访问HTTP站点,whois查询
除了允许访问上面列出的服务以外,所有其他通信都应被阻止.从局域网络或直接从防火墙上发起的会话都应该被iptables进行状态跟踪(不符合有效状态的数据包应尽早被记录并丢弃),防火墙提供NAT服务.

3.)此外,防火墙还应对从局域网络转发的任一外部IP地址的伪造数据包进行控制.

4.)防火墙本身必须允许局域网络的用户通过SSH进行访问,但不允许用户从任何其他地方访问.
5.)防火墙应该接受来自互联网和局域网的ICMP回显请求,但来自任何源IP地址的非回显请求的其他ICMP数据包应被丢弃.
6.)防火墙配置一个默认的日志记录和丢弃规则,以使离群的数据包,端口扫描或其它没有被允许的连接企图被丢弃并记录.
拓扑结构

+--------+         +---------------------+
|           |          |                           |    +---------------+        +--------+
| 互联网 |------- |        防火墙          +----- |    局域网     +-----| 办公用户|
|           |          |                           |    +---------------+        +--------+
+--------+         +---------------------+           |              |
                                                              +----+      +---+
                                                              |web|       |ftp|
                                                              +----+      +---+

问题描述:
第2.) 问题,防火墙的添加的协议限制规则,没有起到拦截的作用,局域网用户可以不受限制的访问互联网上的任何服务.
[root@centos ~]# cat iptables.sh

#!/bin/bash
IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe
INT_NET=192.168.0.0/24

### flush existing rules and set chain policy setting to DROP
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
### load connection-tracking modules
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp

###### INPUT chain ######
echo "[+] Setting up INPUT chain ..."
### state tracking rules
$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID"
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### anti-spoofing rules
$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j DROP

### ACCEPT rules
$IPTABLES -A INPUT -i eth1 -p tcp -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

### default INPUT LOG rule
$IPTABLES -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options

###### OUTPUT chain #######
echo "[+] Setting up OUTPUT chain ..."
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-option --log-tcp-options
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -s localhost -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

### ACCEPT rules for allowing connections out
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -s localhost -o eth0 -p icmp --icmp-type echo-request -j ACCEPT

### defautl OUTPUT LOG rule
$IPTABLES -A OUTPUT -o ! lo -j LOG --log-prefix "DROP"  --log-ip-options --log-tcp-options

###### FORWARD chan ######
echo "[+] Setting up FORWARD chain ..."
### state tracking rules
$IPTABLES -A FORWARD -i eth1 -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-option --log-tcp-options
$IPTABLES -A FORWARD -i eth1 -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

### anti-spoofing rules
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j DROP

### ACCEPT rules
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 53 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

### default log rule
$IPTABLES -A FORWARD -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options

###### NAT rules ######
echo "[+] Setting up NAT rules ..."
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.2:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.0.2:443
$IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2:21
$IPTABLES -t nat -A POSTROUTING -s $INT_NET -o eth0 -j MASQUERADE

###### forwarding ######
echo "[+] Enabling IP forwarding ..."
echo 1 > /proc/sys/net/ipv4/ip_forward
阅读(1425) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~