当前位置: 技术问答>linux和unix
###高分求教###
来源: 互联网 发布时间:2015-01-19
本文导语: 我如果想设置WWW包过滤以下规则对吗,请各位CHECK?! -------------------------------- 环境介绍 1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(...
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------------
环境介绍
1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(安全服务器),并设置了正确的DNS服务器地址。
2.)安全服务器上安装双网卡,通过第一块网卡eth0(202.96.199.133)连接因特网,第二块网卡eth1(192.168.0.1)作为网关连接内部网络。安全服务器上提供DNS解析服务,并配置起防火墙,防火墙提供为实现对从内部网络中任何发往因特网的数据包进行伪装,并对因特网发向内部网络的数据包按规则进行过滤。
3.)企业内部网络设有主服务器(192.168.0.250),提供WWW、Email、FTP服务。而当外部需要访问内部主服务器时,防火墙进行了特定的设置,其会转发这个数据包重写定位到内部主服务器上,而当内部主服务器生成回复包朝外发出经过防火墙时,包也将被重写。
访问过程
1.)内部网络上的一个用户192.168.0.100想通过IE访问 http://www.ecnu.edu.cn
2.)IE通过DNS解析"www.ecnu.edu.cn", 得到它的地址为 202.120.88.65 然后它使用端口1050与此地址建立一个连接, 并向 web 站点索取页面.
3.)当数据包由客户机(port 1050)通过防火墙送往ecnu.edu.cn(port 80) 时, 数据包被重写为由安全服务器上第一块网卡eth0(202.96.199.133)发出, 端口是 65000。防火墙完成地址的映射,将客户机(192.168.0.100)的地址映射为安全服务器的上eth0,由于拥有合法的IP地址, 所以从ecnu.edu.cn返回的包可以找到正确的返回路径.
4.)当包从ecnu.edu.cn(端口 80)来到安全服务器上第一块网卡eth0(端口 65000)后, 数据包被重写转发给客户机的1050端口。
5.)IP地址为192.168.0.100的客户机上的IE浏览器立即显示此页面。
--------------------------
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.1/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.0/24 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 202.96.199.133/32 www -d 0.0.0.0/0 1024: -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.1/32 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
--------------------------------
环境介绍
1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(安全服务器),并设置了正确的DNS服务器地址。
2.)安全服务器上安装双网卡,通过第一块网卡eth0(202.96.199.133)连接因特网,第二块网卡eth1(192.168.0.1)作为网关连接内部网络。安全服务器上提供DNS解析服务,并配置起防火墙,防火墙提供为实现对从内部网络中任何发往因特网的数据包进行伪装,并对因特网发向内部网络的数据包按规则进行过滤。
3.)企业内部网络设有主服务器(192.168.0.250),提供WWW、Email、FTP服务。而当外部需要访问内部主服务器时,防火墙进行了特定的设置,其会转发这个数据包重写定位到内部主服务器上,而当内部主服务器生成回复包朝外发出经过防火墙时,包也将被重写。
访问过程
1.)内部网络上的一个用户192.168.0.100想通过IE访问 http://www.ecnu.edu.cn
2.)IE通过DNS解析"www.ecnu.edu.cn", 得到它的地址为 202.120.88.65 然后它使用端口1050与此地址建立一个连接, 并向 web 站点索取页面.
3.)当数据包由客户机(port 1050)通过防火墙送往ecnu.edu.cn(port 80) 时, 数据包被重写为由安全服务器上第一块网卡eth0(202.96.199.133)发出, 端口是 65000。防火墙完成地址的映射,将客户机(192.168.0.100)的地址映射为安全服务器的上eth0,由于拥有合法的IP地址, 所以从ecnu.edu.cn返回的包可以找到正确的返回路径.
4.)当包从ecnu.edu.cn(端口 80)来到安全服务器上第一块网卡eth0(端口 65000)后, 数据包被重写转发给客户机的1050端口。
5.)IP地址为192.168.0.100的客户机上的IE浏览器立即显示此页面。
--------------------------
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.1/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.0/24 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 202.96.199.133/32 www -d 0.0.0.0/0 1024: -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.1/32 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
|
更好的办法是你把下面的规则中,除了输输出外其它设为禁止并且把这三行放在脚本的最后,因为ipchains是规则链是找到匹配项就会跳出,那么你之后设的规则就没有起到作用。
# 默认拒绝转发,输入;能自由的输出
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input DENY
/sbin/ipchains -P output ACCEPT
这样设的话你就没必要设后面很多东西了,你只要设好你开放的几项服务就好了,如WWW服务
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
然后你用iptable做转发具体的东西我也不是记得太清了。最好你所有的东西都用iptable吧:):):)
我看你好象都会这东西你不去机上试,谁都不感保证这个脚本无误的。
# 默认拒绝转发,输入;能自由的输出
/sbin/ipchains -P forward DENY
/sbin/ipchains -P input DENY
/sbin/ipchains -P output ACCEPT
这样设的话你就没必要设后面很多东西了,你只要设好你开放的几项服务就好了,如WWW服务
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
然后你用iptable做转发具体的东西我也不是记得太清了。最好你所有的东西都用iptable吧:):):)
我看你好象都会这东西你不去机上试,谁都不感保证这个脚本无误的。
|
up
|
果然应该高分,不会啊!
|
我也不会,只能UP。
|
gz
|
up
|
好复杂,up
|
不懂
up
up
|
呵呵,写的比我想说的都多
|
感觉有些规则多余,一时也说不清,看来高手难做
|
看起来挺难的,是该高分求教!哎,作一个高手的确难呀!我也不懂。
UP!!
UP!!
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。