Linux中国 Linux中国门户站!
设为主页 设为主页
收藏本站 收藏本站
 
当前位置 :首页 ->Linux技术 ->Linux安全 ->正文

Squid加IpTables实现网关防火墙的方法

来源: 作者: 时间:2007-04-11 点击: [收藏] [投稿]

需求说明:此服务器用作网关、MAIL(开启web、smtp、pop3)、FTP、DHCP服务器,内部一台机器(192.168.0.254)对外提供dns服务,为了不让无意者轻易看出此服务器开启了ssh服务器,故把ssh端口改为2018.另把proxy的端口改为60080

eth0:218.28.20.253,外网口

eth1:192.168.0.1/24,内网口

[jackylau@proxyserver init.d]$cat /etc/squid/squid.conf(部份如下)

http_port 192.168.0.1:60080

httpd_accel_port 80

httpd_accel_host virtual

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

acl allow_lan src 192.168.0.0/24

http_access allow allow_lan

visible_hostname proxyserver

[jackylau@proxyserver init.d]$ cat firewall

#!/bin/sh

# Author: jackylau ;

# chkconfig: 2345 08 92

# description: firewall

# Time on 2005.08.02

# killproc

# Set ENV

INET_IP="218.28.20.253"

INET_IFACE="eth0"

LAN_IP="192.168.0.1"

LAN_IP_RANGE="192.168.0.0/24"

LAN_BROADCAST_ADDRESS="192.168.0.255"

LAN_IFACE="eth1"

LO_IFACE="lo"

LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

start(){

echo -n $"Starting firewall:"

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_mangle

/sbin/modprobe iptable_nat

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_state

echo "1" >; /proc/sys/net/ipv4/ip_forward

# Set policies

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

# Add bad_tcp_packets, allowed and icmp_packets

$IPTABLES -N bad_tcp_packets

$IPTABLES -N tcp_packets

$IPTABLES -N udp_packets

$IPTABLES -N allowed

$IPTABLES -N icmp_packets

# bad_tcp_packets

$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"

$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

# allowed

$IPTABLES -A allowed -p TCP --syn -j ACCEPT

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

# TCP rules

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 2018 -j allowed

# UDP rules

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 67 -j ACCEPT

# ICMP rules

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# INPUT chain

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

 如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 3 下一页


上一篇:Linux操作系统下的攻击软件经典大荟萃   下一篇:安全攻略 SSH工具SCP使用示例详细解析

文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论
更多相关文章
·IP安全加密 IPSec安全技术全面接触
·黑客高级技巧 Linux后门技术及实践
·LINUX2.4.x网络安全框架
·分级防御对Linux服务器的攻击
·基于Linux开发的FireboxⅡFastVPN
·十项Linux安全管理技巧经验总结
·高级Linux安全管理技巧
·发现Linux压缩格式漏洞 达第二最危险级别
·Unix和Linux下的Acrobat Reader 5受攻击
·Linux操作系统下防垃圾邮件基本功
推荐文章
·安装大型Linux 集群(1): 简介和硬件
·保护互联网上Linux机器最关键的要素
·系统安全防范之Linux下简单的入侵检
·SMIT 入门
·交换环境下SNIFFER的几种攻击技术手
·怎么样让您的Linux操作系统更加安全
·五大Linux操作系统安全管理经验总结
·类UNIX系统基础:文件安全与权限
精彩文章
·系统安全解读Linux文件权限设置方法
·对Linux服务器平台怎么样安全保护(
·安全攻略 SSH工具SCP使用示例详细解
·在Linux中安装和设置Nmap安全工具
·LINUX操作系统下的网络邮件安全问题
·Linux 引导过程内幕
·基于Linux操作系统的目录服务的实现
·超级实用的Linux操作系统安全性事项
·Linux下防范缓冲区溢出攻击安全策略
·在Linux中从隐藏密码迁移至tcb
·Squid加IpTables实现网关防火墙的方
·在 iSeries 上安装 Linux
·谈兵:Linux/Unix操作系统入侵思路
· Linux网络安全之经验谈
·Linux操作系统上如何阻止系统攻击者
·怎么样设定执行 Java 的 Linux 安全
·怎么样配置Linux操作系统的安全服务
·系统安全之浅谈Linux后门技术及实践
·关于国内UNIX主机常见安全漏洞的描
·打造Linux安全堡垒入侵检测与预警
·让Linux更安全——安全含义的重新思
·Linux操作系统下的攻击软件经典大荟
·FreeBsd5.4+pf+squid反向代理实战笔
·一次DOS事件的解决办法
·为Linux蒙上Windows面纱请黑客入瓮
·技术介绍:“SSH”让远程控制更安全
Power by linux-cn.com 粤ICP备05006655号