国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

四、 iptables使

   首先讓我們看一下服務(wù)器/客戶機(jī)的交互原理。服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺(tái)程序提供的。在TCP/IP網(wǎng)絡(luò)中，常常把這個(gè)特定的服務(wù)綁定到特定的TCP或UDP端口。之后，該后臺(tái)程序就不斷地監(jiān)聽（listen)該端口，一旦接收到符合條件的客戶端請(qǐng)求，該服務(wù)進(jìn)行TCP握手后就同客戶端建立一個(gè)連接，響應(yīng)客戶請(qǐng)求。與此同時(shí)，再產(chǎn)生一個(gè)該綁定的拷貝，繼續(xù)監(jiān)聽客戶端的請(qǐng)求。

   舉一個(gè)具體的例子：假設(shè)網(wǎng)絡(luò)中有一臺(tái)服務(wù)器A(IP地址為1.1.1.1)提供WWW服務(wù)，另有客戶機(jī)B(2.2.2.2)、C(3.3.3.3)。首先，服務(wù)器A運(yùn)行提供WWW服務(wù)的后臺(tái)程序（比如Apache）并且把該服務(wù)綁定到端口80，也就是說，在端口80進(jìn)行監(jiān)聽。當(dāng)B發(fā)起一個(gè)連接請(qǐng)求時(shí),B將打開一個(gè)大于1024的連接端口(1024內(nèi)為已定義端口),假設(shè)為1037。A在接收到請(qǐng)求后，用80端口與B建立連接以響應(yīng)B的請(qǐng)求，同時(shí)產(chǎn)生一個(gè)80端口綁定的拷貝，繼續(xù)監(jiān)聽客戶端的請(qǐng)求。假如A又接收到C的連接請(qǐng)求（設(shè)連接請(qǐng)求端口為1071），則A在與C建立連接的同時(shí)又產(chǎn)生一個(gè)80端口綁定的拷貝繼續(xù)監(jiān)聽客戶端的請(qǐng)求。如下所示，因?yàn)橄到y(tǒng)是以源地址、源端口、目的地址、目的端口來標(biāo)識(shí)一個(gè)連接的，所以在這里每個(gè)連接都是唯一的。

服務(wù)器 客戶端
連接1：a.b.c.1:80 <=> a.b.c.4:1037
連接2：a.b.c.1:80 <=> a.b.c.7:1071

   每一種特定的服務(wù)都有自己特定的端口，一般說來小于1024的端口多為保留端口，或者說是已定義端口，低端口分配給眾所周知的服務(wù)（如WWW、FTP等等），從512到1024的端口通常保留給特殊的UNIX TCP/IP應(yīng)用程序，具體情況請(qǐng)參考/etc/services文件或RFC1700。

假設(shè)網(wǎng)絡(luò)環(huán)境如下：某一單位，租用DDN專線上網(wǎng)，網(wǎng)絡(luò)拓?fù)淙缦拢?

+--------------+
| 內(nèi)部網(wǎng)段 | eth1+--------+eth0 DDN
| +------------|firewall|<===============>Internet
| 198.168.80.0 | +--------+
+--------------+
eth0: 198.199.37.254
eth1: 198.168.80.254

    以上的IP地址都是Internet上真實(shí)的IP，故沒有用到IP欺騙。并且，我們假設(shè)在內(nèi)部網(wǎng)中存在以下服務(wù)器：
www服務(wù)器：www.yourdomain.com 198.168.80.11
ftp服務(wù)器：ftp.yourdomain.com 198.168.80.12
email服務(wù)器：mail.yourdomain.com 198.168.80.13

    下面我們將用iptables一步一步地來建立我們的包過濾防火墻，需要說明的是，在這個(gè)例子中，我們主要是對(duì)內(nèi)部的各種服務(wù)器提供保護(hù)。

1.在/etc/rc.d/目錄下用touch命令建立firewall文件，執(zhí)行chmod u+x firewll以更改文件屬性，編輯/etc/rc.d/rc.local文件，在末尾加上 /etc/rc.d/firewall 以確保開機(jī)時(shí)能自動(dòng)執(zhí)行該腳本。

2. 刷新所有的鏈的規(guī)則
#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

3. 我們將首先禁止轉(zhuǎn)發(fā)任何包，然后再一步步設(shè)置允許通過的包。
所以首先設(shè)置防火墻FORWARD鏈的策略為DROP：

/sbin/iptables -P FORWARD DROP

4.設(shè)置關(guān)于服務(wù)器的包過慮規(guī)則：

在這里需要注意的是，服務(wù)器/客戶機(jī)交互是有來有往的，也就是說是雙向的，所以我們不僅僅要設(shè)置數(shù)據(jù)包出去的規(guī)則，還要設(shè)置數(shù)據(jù)包返回的規(guī)則，我們先建立針對(duì)來自Internet數(shù)據(jù)包的過慮規(guī)則。

WWW服務(wù)：服務(wù)端口為80，采用tcp或udp協(xié)議。規(guī)則為：eth0=>允許目的為內(nèi)部網(wǎng)WWW服務(wù)器的包。

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

FTP服務(wù)：FTP服務(wù)有點(diǎn)特別，因?yàn)樾枰獌蓚€(gè)端口，因?yàn)镕TP有命令通道和數(shù)據(jù)通道。其中命令端口為21，數(shù)據(jù)端口為20，并且有主動(dòng)和消極兩種服務(wù)模式，其消極模式連接過程為：FTP客戶端首先向FTP服務(wù)器發(fā)起連接請(qǐng)求，三步握手后建立命令通道，然后由FTP服務(wù)器請(qǐng)求建立數(shù)據(jù)通道，成功后開始傳輸數(shù)據(jù)，現(xiàn)在大多數(shù)FTP客戶端均支持消極模式，因?yàn)檫@種模式可以提高安全性。FTP服務(wù)采用tcp協(xié)議。規(guī)則為：eth0=>僅允許目的為內(nèi)部網(wǎng)ftp服務(wù)器的包。

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

EMAIL服務(wù)：包含兩個(gè)協(xié)議，一是smtp，一是pop3。出于安全性考慮，通常只提供對(duì)內(nèi)的pop3服務(wù)，所以在這里我們只考慮針對(duì)smtp的安全性問題。smtp端口為21，采用tcp協(xié)議。eth0=>僅允許目的為email服務(wù)器的smtp請(qǐng)求。

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j ACCEPT

5. 設(shè)置針對(duì)Intranet客戶的過慮規(guī)則：

在本例中我們的防火墻位于網(wǎng)關(guān)的位置，所以我們主要是防止來自Internet的攻擊，不能防止來自Intranet的攻擊。假如我們的服務(wù)器都是基于linux的，也可以在每一部服務(wù)器上設(shè)置相關(guān)的過慮規(guī)則來防止來自Intranet的攻擊。對(duì)于Internet對(duì)Intranet客戶的返回包，我們定義如下規(guī)則。

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

說明：第一條允許Intranet客戶采用消極模式訪問Internet的FTP服務(wù)器；第二條接收來自Internet的非連接請(qǐng)求tcp包；最后一條接收所有udp包，主要是針對(duì)oicq等使用udp的服務(wù)。

6. 接受來自整個(gè)Intranet的數(shù)據(jù)包過慮，我們定義如下規(guī)則：

#############Define packets from Internet server to Intranet server###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

7. 處理ip碎片

我們接受所有的ip碎片，但采用limit匹配擴(kuò)展對(duì)其單位時(shí)間可以通過的ip碎片數(shù)量進(jìn)行限制，以防止ip碎片攻擊。

#################################Define fregment rule##################################
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

說明：對(duì)不管來自哪里的ip碎片都進(jìn)行限制，允許每秒通過100個(gè)ip碎片，該限制觸發(fā)的條件是100個(gè)ip碎片。

8. 設(shè)置icmp包過濾

icmp包通常用于網(wǎng)絡(luò)測(cè)試等，故允許所有的icmp包通過。但是黑客常常采用icmp進(jìn)行攻擊，如ping of death等，所以我們采用limit匹配擴(kuò)展加以限制：

#################################Define icmp rule##################################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

說明：對(duì)不管來自哪里的icmp包都進(jìn)行限制，允許每秒通過一個(gè)包，該限制觸發(fā)的條件是10個(gè)包。

通過以上個(gè)步驟，我們建立了一個(gè)相對(duì)完整的防火墻。只對(duì)外開放了有限的幾個(gè)端口，同時(shí)提供了客戶對(duì)Internet的無縫訪問，并且對(duì)ip碎片攻擊和icmp的ping of death提供了有效的防護(hù)手段。以下是完整的腳本文件內(nèi)容，希望通過這個(gè)實(shí)例能是對(duì)iptables的用法有所了解：

#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j ACCEPT

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j ACCEPT

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j ACCEPT

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

#############Define packets from Intranet to Internet###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

#################################Define fregment rule##################################
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

#################################Define icmp rule##################################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

五、 iptables與ipchains的區(qū)別

　　·iptables的缺省鏈的名稱從小寫換成大寫，并且意義不再相同：INPUT和OUTPUT分別放置對(duì)目的地址是本機(jī)以及本機(jī)發(fā)出的數(shù)據(jù)包的過慮規(guī)則。
　　·-i選項(xiàng)現(xiàn)在只代表輸入網(wǎng)絡(luò)接口，輸入網(wǎng)絡(luò)接口則使用-o選項(xiàng)。
　　·TCP和UDP端口現(xiàn)在需要用--source-port或--sport（或--destination-port/--dport）選項(xiàng)拼寫出來并且必須置于"-p tcp"或"-p udp"選項(xiàng)之后，因?yàn)樗鼈兎謩e是載入TCP和UDP擴(kuò)展的。
　　·以前TCP的"-y"標(biāo)志現(xiàn)在改為"--syn"，并且必須置于"-p tcp"之后。
　　·原來的DENY目標(biāo)最后改為了DROP。
　　·可以在列表顯示單個(gè)鏈的同時(shí)將其清空。
　　·可以在清空內(nèi)建鏈的同時(shí)將策略計(jì)數(shù)器清零。
　　·列表顯示鏈時(shí)可顯示計(jì)數(shù)器的當(dāng)前瞬時(shí)值。
　　·REJECT和LOG現(xiàn)在變成了擴(kuò)展目標(biāo)，即意味著它們成為獨(dú)立的內(nèi)核模塊。
　　·鏈名可以長(zhǎng)達(dá)31個(gè)字符。
　　·MASQ現(xiàn)在改為MASQUERADE，并且使用不同的語(yǔ)法。REDIRECT保留原名稱，但也改變了所使用的語(yǔ)法。