【正文】 r: Oskar Andreasson (c) of , use at your own risk, do whatever you please with it as long as you don39。t distribute this without due credits to Configuration options, these will speed you up getting this script to work with your own setup. your LAN39。t distribute this with due credits to reset the default policies in the filter table. /usr/local/sbin/iptables P INPUT ACCEPT 。s 15 $IPTABLES t nat A PREROUTING i $INET_IFACE s $IPTABLES t nat A PREROUTING i $INET_IFACE s $IPTABLES t nat A PREROUTING i $INET_IFACE s INPUT chain Take care of bad TCP packets that we don39。 Smith, 感謝在可能擾亂人的素材上給我以暗示，感謝嘗試它并檢查我寫的東西的錯誤。 貢獻者 我感謝下面的人在我寫這篇 文章時對我的幫助： Fabrice Marie, 修改我的語法及拼寫 . 感謝他將指南修改成 DocBook 格式并帶有 make 11 files等等。例如iptables P INPUT ACCEPT。這個范圍不是為你用來做填充的，至少在我的知識范圍內(nèi)不是，對于大的公司站點更不是，或者對于你的家庭網(wǎng)絡，但你不能迫使我們開放自己只因為你的一些whince 。s 。這個子網(wǎng)的防火墻將被我們的第二防火墻取代，狀態(tài) NEW 因此允許相當多的任何種類的 TCP 連接，不管這是否是三方握手（ 3way handshake） 。只要編譯內(nèi)核中的 ip_conntrack_irc 和 ip_conntrack_ftp 模塊。如果我們真得到了一個目的 為 DNAT的包，即 Destination NAT。從圖中你可以看出你需要 2 個內(nèi)部網(wǎng)絡。我們每分鐘最多記錄 3個日志記錄以防止日志文件溢出，加一個短前綴， 可做文件內(nèi)的字符 串查找。最后，我們將扔掉的所有東西記錄下來。 在我們遇到 INPUT 鏈的默認規(guī)則前，我們把它記入日志以便 發(fā)現(xiàn)可能的問題或 bugs。 在這我們對壞包做特別檢查。 端口 4000，現(xiàn)在眾所周知是 ICQ協(xié)議。 現(xiàn)在，我從端口 53 接收來的 UDP 包，用來做 DNS 查找，沒有這個我們做不了域名查找而且我們只能使用 IP39。如果我們完全不允許 FTP ，我們可以卸載 ip_conntrack_ftp 模塊，從 文件中刪除那條鏈。它指定了從 Inter的防火墻上什么端口可以被使用。 Destination Unreachable 在特定主機無法到達時使用，所以比如我們發(fā)出一個 HTTP 請求，主機不可到達，無法找到主機路由的最后一個網(wǎng)關應答 Destination Unreachable 告訴我們找不到它。在這種情況下意味著沒有看到兩個方向的負載，也就是沒對 SYN包做應答，或者他們開始與一個不是 SYN的包連接。在 eth0上的包，凡是屬于 ICMP 類的，將被重定向到 icmp_packets，屬于 TCP 類的，將被重定向到 tcp_packets ，而來自 eth0 的 UDP 類包則定向到 udpining_packets 鏈。我們允許任何東西從本地主機發(fā)出，我們允許任何東西從本地網(wǎng)的 ip發(fā)出，最后我們允許任何東西從我們自己的 ip 發(fā)出到 inter。如果在檢查中它失敗 5 了，它將被送到 INPUT 鏈，穿過與 ICMP 包相同的路。 這有一幅圖給出它們怎么穿過 INPUT 、 FORWARD 、 OUTPUT鏈， 當一個包碰到 INPUT 鏈，它首先被檢查是否是 ICMP 包，如果是，則被發(fā)往 icmp_packets 被檢查是否被允許。 不同鏈的規(guī)則取代 ,為什么 ? 我用盡可能多的節(jié)約 CPU資源 的方式取代了不同的鏈。 下一件事是接收所有來自任何地方的建立或關聯(lián)某個連接的包。如果你用相反的方式做，相反的結果成立。 下一步是加載 ipt_owner 模塊的選擇，比如只允許特定用戶做特定連接等。 當然你可能不會用到所有的這些選項，或者你想使用其他的配置選項，以上這些是我在這個指南中將要用到的，為了在你的網(wǎng)絡設備上建立基本的安全體制。 3 CONFIG_IP_NF_TARGET_REJECT 這段代碼向你的過濾器中增加 REJECT 目標。 CONFIG_IP_NF_CONNTRACK 連接跟蹤，它跟蹤連接，并知道在一個連接中信息包如何、在哪相關聯(lián)。在這一點上，新的 iptables 是從舊的 ipchains 上的一個很好的升級，以前，你可以通過丟失所有的包 ,并將它們不送往特定的端口來建立一個安全的網(wǎng)絡，但這將導致類似被動的 FTPs 或在 IRC 中流出 DCCs 的問題，你得服務器分配端口，并告知客戶端，然后再讓客戶連接。 1 Linux之 Iptable 篇 我發(fā)現(xiàn)目前所有的 HOWTO 都缺乏新的 Linux 內(nèi)核中的新 Iptables 函數(shù)的信息 ,于是我試圖回答象一些新的可能性在諸如狀態(tài)匹配之中的問題 . 假設問一下 , 你的服務器上能否構建這么一種情況 ,它 允許被動的 FTP 訪問 ，但不許從 IRC 中流出 DCCs. 我將在例子 ，你可以在你的 /etc/。 你是誰？ 我是這樣一個人，在我的局域網(wǎng)上有很多舊機器，等待連接到 Inter上并保證安全。 CONFIG_NETFILTER 能使內(nèi)核中信息包進行過濾，沒有這一選項，你不能使用 iptables ，沒有它你也不能偽裝你的連接。 CONFIG_IP_NF_MATCH_UNCLEAN 支持通過觀察包頭部的一系列域來匹配不干凈的包或無效包。想知道它在理論上 是怎么工作的請查看 masquerading HOWTO。比如你想要支持 REJECT 和 MASQUERADE 目標，但你沒有將它在你的內(nèi)核中編譯，我們就加載這些模塊。它所做的就是比如增加內(nèi)核辨認一個與當前活躍的 FTP 控制流程相關聯(lián)的被動 FTP連接的能力，但因為 IRC 模塊沒被加載，內(nèi)核沒法辨認它是否與當前某個活躍的流相關聯(lián)，因此它不允許這些連接。所有在我們網(wǎng)絡設備被傳送的包都將穿過過濾器表中的FORWARD 鏈。我們在日志前加一個前綴—— logprefix，將日志級別設為 loglevel，日志級別將告訴 syslogd或 logging facility這條日志到底重要到什么程度。如果你的本地網(wǎng)絡設備對去往服務器的包做出應答，它們將穿過 OUTPUT 鏈。這里我們將檢查它是否去往我們所允許或不允許的一個端口，如果是 , 我們將它傳送到允許的鏈做最后的檢查。具體圖片可以在以下地址獲得 . 這個鏈是很直接的。我們使用的鏈是icmp_packets,tcp_packets, udpining_packets 和 tcp_packets允許的鏈 。鏈中的最后一條規(guī)則將把剩下的所有東西丟棄。 我允許這些 ICMP 包的原因如下， Echo Replies 是你 ping 其他主機時獲得的，如果不允許這個，我們就不能 ping 其他主機了。 TCP 鏈 現(xiàn)在我們講 TCP 連接。 象現(xiàn)在，我允許 TCP port 21，或 FTP 控制端口，它用來控制 FTP 連接，稍后 我還允許所有的相關連接，而且那樣我還允許 PASSIVE 和 PORT 連接，因為 ip_conntrack_ftp 模塊被加載。如果他們還有源端口 53，我們直接接收它們。使用 speak freely你可以通過喇叭、麥克風或耳機與其他人實時交談。在這種方法下，我們并沒有從 iptables 處獲得太多的負載，因此它在那些高負載下可能丟失包的慢機器上也能工作的很好。我們還允許我們局域網(wǎng)的廣播負載，一些應用依賴于它，象 Samba , 沒有它這些應用無法很好地工作。其他的所有東西都以某種方式欺騙，盡管這樣我還是懷疑某個我知道的人會在我的網(wǎng)絡設備上這么做。之后我們記錄所有的東西并丟棄它。在這個指南的后面 你將看到如何做 IP 別名（ IP aliasing ）的例子，現(xiàn)在 你還看不到什么實際的例子。s中地域傳送的 TCP 端口。你可能會問自己如何做到，只要你想就很簡單。這個特點使得有兩個或更多的防火墻成為可能。s 為他們的本地網(wǎng) 使用用 IANA 賦值的 IP39。s。因此如果默認規(guī)則被置為“ DROP” ，而且你想象上面一樣使用，則你要阻塞整個 INPUT 鏈，重置鏈規(guī)則，象你置“ DROP”一樣做。s Unreliable Netfilter Hacking HOWTO Netfilter user mailinglist 當然，還包括 iptables 的原始資料，文檔及幫助我的人。 Jeremy `Spliffy39。t want $IPTABLES A FORWARD p tcp ! syn m state state NEW j LOG logprefix New not syn: $IPTABLES A FORWARD p tcp ! syn m state state NEW j DROP Accept the packets we actually want to forward $IPTABLES A FORWARD i $LAN_IFACE j ACCEPT $IPTABLES A FORWARD m state state ESTABLISHED,RELATED j ACCEPT $IPTABLES A FORWARD m limit limit 3/minute limitburst 3 j LOG loglevel DEBUG logprefix IPT FORWARD packet died: Set default policies for the INPUT, FORWARD and OUTPUT chains $IPTABLES P INPUT DROP $IPTABLES P OUTPUT DROP $IPTABLES P FORWARD DROP Create separate chains for ICMP, TCP and UDP to traverse $IPTABLES N icmp_packets $IPTABLES N tcp_packets $IPTABLES N udpining_packets 14 The allowed chain for TCP connections $IPTABLES N allowed $IPTABLES A allowed p TCP syn j ACCEPT $IPTABLES A allowed p TCP m state state ESTABLISHED,RELATED j ACCEPT $IPTABLES A allowed p TCP j DROP ICMP rules $IPTABLES A icmp_packets p ICMP s 0/0 icmptype 0 j ACCEPT $IPTABLES A icmp_packets p ICMP s 0/0 icmptype 3 j ACCEPT $IPTABLES A icmp_packets p ICMP s 0/0 icmptype 5 j ACCEPT $IPTABLES A icmp_packets p ICMP s 0/0 icmptype 11 j ACCEPT TCP rules $IPTABLES A tcp_packets p TCP s 0/0 dport 21 j allowed $IPTABLES A tcp_packets p TCP s 0/0 dport 22 j allowed $IPTABLES A tcp_packets p TCP s 0/0 dport 80 j allowed $IPTABLES