iptables實戰系列:公共網絡服務防火墻
原創【51CTO獨家特稿】本文將介紹一個使用iptables保障網絡服務安全的例子,需要保護的企業網絡提供對外的公共網絡服務,包括WWW、FTP、SMTP、DNS等。
1、 應用場景和網絡拓撲
在這個應用中,我們將需要使用iptables防火墻保護企業網絡提供的對外的公共Internet服務,這些服務包括WWW服務、FTP服務、SMTP服務以及DNS服務(具體的網絡拓撲請參見圖1)。因此,這些服務起都具有有效的Internet地址。
為了將內部網段210.10.18.0/24與Internet隔離,在內部網絡和Internet之間使用了包過濾防火墻。具體的IP地址設置如下:
- 防火墻的內網接口是eth0(IP地址為:210.10.18.88),防火墻對外的Internet接口是eth1(IP地址為:210.10.19.188);
- WWW服務器:IP地址為210.10.18.89;
- FTP服務器:IP地址為210.10.18.90;
- DNS服務器:IP地址為210.10.18.91;
- SMTP服務器:IP地址為210.10.18.92。
圖1 防火墻部署實例示意圖
2、 防火墻具體配置
本應用的主要目的是對企業網提供各種服務的服務器提供保護,以使他們免受來自于外網Internet惡意用戶和流量的攻擊和危害。
(1)建立有關的腳本文件:在/etc/rc.d/目錄下用touch命令建立空的腳本文件,執行chmod命令添加可執行權限。
# touch /etc/rc.d/firewall-for-networkservice # chmod u+x /etc/rc.d/firewall-for-networkservice
(2)編輯/etc/rc.d/rc.local文件,在末尾加上/etc/rc.d/firewall-for-networkservice 以確保開機時能自動執行該腳本,運行如下命令:
# echo “/etc/rc.d/firewall-for-networkservice” >>/etc/rc.d/rc.local
(3)使用vi或者gedit等編輯器編輯/etc/rc.d/firewall-for-networkservice文件,插入如下內容:
1)添加相關腳本信息,注意:腳本中的注釋是采用“#”表示,而不是通常用的“//”
# 添加腳本編寫頭部 # !/bin/bash # 在屏幕上顯示信息 echo “Starting iptables rules…” # 開啟內核轉發功能 echo “1” >/proc/sys/net/ipv4/ip_forward
2)定義規則重要使用的相關變量
# 定義變量 IPT=/sbin/iptables WEB_SERVER=210.10.18.89 FTP_SERVER=210.10.18.90 DNS_SERVER=210.10.18.91 SMTP_SERVER=210.10.18.92 PROTECT_DOMAIN=“210.10.18.0/24”
3)刷新基本的鏈規則,并禁止轉發任意包
$IPT_LIST -F $IPT_LIST -P FORWARD DROP
4)設置有關保護服務器的包過濾規則,并且注意由于服務器/客戶機交互是雙向的,所以不僅僅要設置數據包出去的規則,還要設置數據包返回的規則,如下所示:
#保護WWW服務:服務端口為80,采用tcp或udp協議 #規則為:eth1=>允許目的為內部網WWW服務器的包 $IPT_LIST -A FORWORD -p tcp udp -d $WEB_SERVER -dport www -i eth1 -j ACCEPT #保護FTP服務:服務端口為:命令端口21,數據端口20。FTP服務采用tcp協議。 # 規則為:eth1=>允許目的為內部網FTP服務器的包 $IPT_LIST -A FORWORD -p tcp -d $FTP_SERVER -dport ftp -i eth1 -j ACCEPT #保護DNS服務:DNS端口53,采用tcp協議或者udp協議 #規則為:eth1=>允許目的為內部網DNS服務器的查詢請求 $IPT_LIST -A FORWORD -p tcp udp -d $ DNS_SERVER -dport dns -i eth1 -j ACCEPT #保護SMTP服務:smtp端口25,采用tcp協議 #規則為:eth1=>允許目的為內部網SMTP服務器的smtp請求 $IPT_LIST -A FORWORD -p tcp -d $ SMTP_SERVER -dport smtp -i eth1 -j ACCEPT
(4)執行腳本,使配置規則立刻生效
# /etc/rc.d/firewall-for-networkservice
到現在為止,有關使用防火墻保障網絡服務的配置就完成了。通過執行上面的腳本,我們建立了一個相對完整的防火墻。由于該防火墻只對外開放了有限的幾個端口,因此能夠有效地限制除這幾個服務之外的流量進入,從而達到保證安全的目的。當然,這個例子還非常簡單,用戶還可以在實際中通過針對具體服務的細化防火墻配置,比如限制外部網絡并發連接WWW服務的TCP請求個數、限制外網訪問FTP服務器的IP地址列表等來進行。這里只是給出一個簡要的示例,以達到拋磚引玉的目的。
【編輯推薦】
