如何在LINUX下架設(shè)防火墻

如何在LINUX下架設(shè)防火墻，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

一、什么是防火墻
防火墻(firewall)是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道(Internet)之間，限制外界用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)及管理內(nèi)部用戶(hù)訪(fǎng)問(wèn)外界網(wǎng)絡(luò)的權(quán)限。主要是控制對(duì)受保護(hù)的網(wǎng)絡(luò)(即網(wǎng)點(diǎn))的往返訪(fǎng)問(wèn)，逼使各連接點(diǎn)的通過(guò)能得到檢查和評(píng)估。

從誕生到現(xiàn)在，防火墻已經(jīng)歷了四個(gè)發(fā)展階段：基于路由器的防火墻、用戶(hù)化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。目前防火墻供應(yīng)商提供的大部分都是具有安全操作系統(tǒng)的軟硬件結(jié)合的防火墻，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系統(tǒng)上的防火墻軟件也很多，除了下面要專(zhuān)門(mén)介紹的IPCHAINS外，還有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墻從結(jié)構(gòu)上講，可分為兩種：

1） 代理主機(jī)結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)<----->代理網(wǎng)關(guān)(Proxy Gateway)<----->Internet

2） 路由器加過(guò)濾器結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)<----->過(guò)濾器(Filter)<---->路由器(Router)<---->Internet

二、用IPCHAINS構(gòu)建局域網(wǎng)防火墻的原理
其實(shí)從本質(zhì)上講，用IPCHAINS構(gòu)建局域網(wǎng)防火墻也是一種C/S模式的交互式的應(yīng)用。一般服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺(tái)程序提供的。在TCP/IP網(wǎng)絡(luò)中，常常把這個(gè)特定的服務(wù)綁定到特定的TCP或UDP端口。之后，該后臺(tái)程序就不斷地監(jiān)聽(tīng)（listen)該端口，一旦接收到符合條件的客戶(hù)端請(qǐng)求，該服務(wù)進(jìn)行TCP握手后就同客戶(hù)端建立一個(gè)連接，響應(yīng)客戶(hù)請(qǐng)求。與此同時(shí)，再產(chǎn)生一個(gè)該綁定的拷貝，繼續(xù)監(jiān)聽(tīng)客戶(hù)端的請(qǐng)求。

IPCHAINS就是這樣的一個(gè)SERVER。對(duì)內(nèi)部網(wǎng)通往Intenet的請(qǐng)求，或從外部通往內(nèi)部網(wǎng)的請(qǐng)求，都進(jìn)行監(jiān)聽(tīng)、檢查、評(píng)估、轉(zhuǎn)發(fā)、拒絕等動(dòng)作。

常用的服務(wù)、協(xié)議與默認(rèn)端口。

服務(wù)類(lèi)型 協(xié)議 端口

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

三、用IPCHAINS作防火墻的步驟
1.安裝

IPCHAINS現(xiàn)在的版本已經(jīng)發(fā)展到1.3.9。一般在安裝LINUX時(shí)都會(huì)安裝上，如果沒(méi)有的話(huà)可以到 www.linux.org下載。下面筆者一TLC4.0為例安裝IPCHAINS。由于它需IP-MASQ的支持，所以確定已安裝了IP-MASQ模塊。

在TLC4.0中，把該光盤(pán)放入光驅(qū)中，

#turbopkg

并選擇ipchains，然后按OK就自動(dòng)自動(dòng)安裝了。

如果你是下載ipchains安裝包的話(huà)：

1）如果是rpm包：

#rpm –ivh *.rpm

2)如果是.tar.gz包

#tar xvfz *.tar.gz(先把包解開(kāi))

再到解開(kāi)目錄

#./configure

#make

#make install

這樣就安裝成功了。

2.啟用ipchains

手工修改 /proc/sys/net/ipv4/ipforward文件，將其內(nèi)容置為1。

在/etc/rc.d/目錄下用touch命令建立rc.ipfwadm文件

在/etc/rc.d/目錄下的rc.local文件中加上下面這段代碼：

if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;

以后所有的ipchains的配置命令都將在rc.ipfwadm文件里修改。

3.配置ipchains（基本應(yīng)用）

ipchains對(duì)機(jī)器的管理是通過(guò)對(duì)機(jī)器的ip地址作為標(biāo)志的，因而首先得確保你的局域網(wǎng)的機(jī)器的ip地址已經(jīng)配分配好，并且你對(duì)之相當(dāng)熟悉。

Ipchains的配置規(guī)則一般是圍繞著input、output、ipforward這三個(gè)規(guī)則進(jìn)行的，其中input是指對(duì)內(nèi)連接請(qǐng)求的過(guò)濾規(guī)則，output是指對(duì)外連接請(qǐng)求的過(guò)濾規(guī)則，ipforward是指對(duì)內(nèi)部與外部通訊包的轉(zhuǎn)發(fā)。Ipchains的命令格式一般是：

ipchains [ADC] ipchains規(guī)則 [ipchains 選項(xiàng)]。

有關(guān)命令的詳細(xì)用法請(qǐng)參考有關(guān)HOWTO文檔。

現(xiàn)在我們假設(shè)企業(yè)的內(nèi)部網(wǎng)網(wǎng)段為192.168.1.0~192.168.1.255.其中防火墻的主機(jī)的IP地址為：192.168.1.1，假設(shè)目前防火墻是進(jìn)行代理上網(wǎng)，拒絕所有的外部telnet。對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)外部站點(diǎn)進(jìn)行限制、并授予一些機(jī)器特權(quán)可任意訪(fǎng)問(wèn)外部機(jī)器、拒絕內(nèi)部某些機(jī)器訪(fǎng)問(wèn)Internet等。網(wǎng)段示意圖為：

+--------------+

| 內(nèi)部網(wǎng)段 | 192.168.1.1 ISDN、PSDN

| +------------|firewall|<===============>Internet

| 192.168.1.0 | +--------+

+-------------- +

配置ipchains防火墻規(guī)則一般有兩種方式：

1） 首先允許所有的包，然后在禁止有危險(xiǎn)的包通過(guò)防火墻；

2） 首先禁止所有的包，然后再根據(jù)所需要的服務(wù)允許特定的包通過(guò)防火墻。

相比較而言，第二種方式的做法更為安全。

下面是我的rc.ipfwadm的文件內(nèi)容：

/sbin/depmod –a

/*自動(dòng)加載所需模塊，如果覺(jué)得這樣有危險(xiǎn)，需手動(dòng)指定安裝模塊，可以如下面這一小段就是手動(dòng)指定加載模塊*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_ftp

/*加載ip偽裝的ftp模塊*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_irc

/*加載ip偽裝的irc模塊*/

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_user

#/sbin/modprobe /lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe -a -t /lib/modules/2.2.10/ipv4/ip_masq*

/*自動(dòng)加載ip偽裝的相關(guān)模塊*/

ipchains –F

/*刷新所有的ipchains規(guī)則*/

ipchains -P forward DENY

/*拒絕轉(zhuǎn)發(fā)所有的ip包*/

/*下面允許特定的包通過(guò)*/

/*開(kāi)設(shè)權(quán)限比較高的主機(jī)*/

ipchains -A forward -s 192.168.1.10/32 -j MASQ

/*允許內(nèi)部的192.168.1.10主機(jī)不受限制訪(fǎng)問(wèn)。比如總經(jīng)理*/

ipchains -A forward -s 192.168.1.12/32 -j MASQ

/*允許內(nèi)部的192.168.1.12主機(jī)不受限制訪(fǎng)問(wèn)。比如系統(tǒng)管理員，在依次添加*/

ipchains -A forward -s 192.168.1.41/32 -j MASQ

/*for example linuxbird的主機(jī)地址：192.168.1.41*/

/*某些機(jī)器，因需要不能對(duì)外連接*/

ipchains -A forward -s 192.168.1.3/32 -j DENY

/*此機(jī)器為內(nèi)部文檔專(zhuān)用機(jī)，不能訪(fǎng)問(wèn)外部*/

/*設(shè)置內(nèi)部普通用戶(hù)能訪(fǎng)問(wèn)的站點(diǎn)*/

ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS

ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS

/*這是上網(wǎng)的DNS服務(wù)器，本人用的是福州電信局的DNS*/

/*以下是普通用戶(hù)能訪(fǎng)問(wèn)的站點(diǎn)，根據(jù)需要可以對(duì)其增刪改*/

ipchains -A forward -d 202.101.98.50/32 -j MASQ

/* public.fz.fj.cn*/

ipchains -A forward -d 202.101.98.60/32 -j MASQ

/* pub5.fz.fj.cn*/

ipchains -A forward -d 202.96.44.14/24 -j MASQ

/*freemail.263.net*/

ipchains -A forward -d 202.99.11.120/32 -j MASQ

/* www.linuxaid.com.cn*/

ipchains -A forward -d 205.227.44.44/24 -j MASQ

/* www.oracle.com*/

ipchains -A forward -d 205.227.44.46/32 -j MASQ

/* lliance.oracle.com*/

#ipchains -A forward -d 205.227.44.237/32 -j MASQ

/* support.oracle.com*/

ipchains -A forward -d 209.246.5.38/24 -j MASQ

/* technet.oracle.com*/

ipchains -A forward -d 137.69.200.8/32 -j MASQ

/* www.legato.com*/

ipchains -A forward -d 202.96.125.102/32 -j MASQ

/* www.188.net*/

ipchains -A forward -d 207.105.83.51/32 -j MASQ

/* www.borland.com*/

ipchains -A forward -d 207.46.131.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A forward -d 207.46.130.30/24 -j MASQ

/* www.microsoft.com*/

ipchains -A forward -d 204.146.81.99/32 -j MASQ

/* www.ibm.com*/

ipchains -A forward -d 202.102.24.74/24 -j MASQ

/* www.lodesoft.com*/

ipchains -A forward -d 210.77.34.109/32 -j MASQ

/* www.csdn.net*/

ipchains -A forward -d 192.138.151.66/32 -j MASQ

/* www.sybase.com*/

ipchains -A forward -d 202.102.26.1/32 -j MASQ

/* www.nari-china.com*/

ipchains -A forward -d 202.102.26.51/32 -j MASQ

/* www.aeps-info.com*/

ipchains -A forward -d 202.106.185.2/32 -j MASQ

/* www.sohu.com */

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。