安徽快三开奖结果今天开奖号
首頁 | 郵件資訊 | 技術教程 | 解決方案 | 產品評測 | 郵件人才 | 郵件博客 | 郵件系統論壇 | 軟件下載 | 郵件周刊 | 熱點專題 | 工具
網絡技術 | 操作系統 | 郵件系統 | 客戶端 | 電子郵箱 | 反垃圾郵件 | 郵件安全 | 郵件營銷 | 移動電郵 | 郵件軟件下載 | 電子書下載

操作系統

Windows 9X | Linux&Uinx | Windows Server | 其它操作系統 | Vista | FreeBSD | Windows 7 |
首頁 > 操作系統 > 其它操作系統 > 使用IP Filter設置小型企業防火墻 > 正文

使用IP Filter設置小型企業防火墻

出處:賽迪網社區 作者:sky 時間:2006-6-26 15:46:00

一、 網絡環境

1、主機A:安裝freebsd4.7,安裝三塊網卡fxp0、xl0和xl1。

fxp0為對外網卡,IP:x.x.x.x ISP為我提供的IP地址

xl0為對內公共區域網卡,IP:192.168.0.1

xl1為對內服務提供區域網卡,IP:192.168.80.1

2、主機B:對外提供www服務主機,ip地址為:192.168.80.80

3、主機C:對外提供ftp服務主機,ip:192.168.80.3。

4、其他工作站N臺。

二、編譯內核

1、

#cd /sys/i386/conf 
#cp GENERIC kernel_IPF

2、編譯kernel_IPF,加入一下選項:

options IPFILTER 
options IPFILTER_LOG 
options IPFILTER_DEFAULT_BLOCK 
3、 
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2" 
 bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
    <td bgcolor="e6e6e6" class="code" style="font-size:9pt">
    <pre><ccid_code>
#/usr/sbin/config kernel_IPF 
#cd ../../compile/kernel_IPF 
#make kepend 
#make 
#make install

4、編輯/etc/rc.rc.conf,打開以下選項:

defaultrouter="x.x.x.1" x.x.x.1為ISP提供的網關 
gateway_enable="YES" 
ipfilter_enable="YES" 
ipnat_enable="YES"

5、重新啟動系統:reboot

三、配置防火墻

1、 設置地址轉換ipnat。在/etc下新建文件ipnat.rules,內容為:

map fxp0 192.168.0.0/16 -> 0/32 proxy port ftp ftp/tcp 
map fxp0 192.168.0.0/24 -> 0/32 portmap tcp/udp 10000:30000 
map fxp0 192.168.0.0/24 -> 0/32 
map fxp0 192.168.80.0/24 -> 0/32 portmap tcp/udp 300001:60000 
map fxp0 192.168.80.0/24 -> 0/32 portmap 
rdr fxp0 x.x.x.x/32 port 80 -> 192.168.0.2 port 80 
rdr fxp0 x.x.x.x/32 port ftp -> 192.168.0.3 port ftp 
rdr fxp0 x.x.x.x/32 port 30001-50000 -> 192.168.80.3 port 30001 tcp

2、設置包過濾ipfilter。在/etc下新建文件ipf.rules,內容為:

block in log quick all with short 
block in log quick all with ipopts 
block in log quick all with frag 
block in log quick all with opt lsrr 
block in log quick all with opt ssrr

以上五句為過濾掉可能會帶來安全問題的短數據包或具備路由信息的數據包以及防止非法掃描服務器

pass out on xl0 all 
pass in on xlo all 
pass out on xl1 all 
pass in on xl1 all 
pass out quick on lo0 all 
pass in quick on lo0 all

以上為內部網絡界面和loopback網絡界面可以自由發送和接受數據包

block out on fxp0 all

以上為屏蔽外部網絡界面向外發送數據包

block out log on fxp0 from any to 192.168.0.0/16 
block out log quick on fxp0 from any to 0.0.0.0/8 
block out log quick on fxp0 from any to 169.254.0.0/8 
block out log quick on fxp0 from any to 10.0.0.0/8 
block out log quick on fxp0 from any to 127.16.0.0/12 
block out log quick on fxp0 from any to 127.0.0.0/8 
block out log quick on fxp0 from any to 192.0.2.0/24 
block out log quick on fxp0 from any to 204.152.64.0/23 
block out log quick on fxp0 from any to 224.0.0.0/3

以上為屏蔽不合法地址的輸出數據

pass out log on fxp0 proto tcp/udp from any to any keep state 
pass out log on fxp0 proto icmp all keep state 

以上為允許TCP 、UDP、ICMP數據包向外發送出去,并且允許回應數據包發送回到內部網絡 
<CENTER><ccid_nobr>
<table width="400" border="1" cellspacing="0" cellpadding="2" 
 bordercolorlight = "black" bordercolordark = "#FFFFFF" align="center">
<tr>
    <td bgcolor="e6e6e6" class="code" style="font-size:9pt">
    <pre><ccid_code>
block in log on fxp0 from 192.168.0.0/16 to any 
block in log quick on fxp0 from 10.0.0.0/8 to any 
block in log quick on fxp0 from 172.16.0.0/12 to any 
block in log quick on fxp0 from 127.0.0.0/8 to any 
block in log quick on fxp0 from 192.0.2.0/24 to any 
block in log quick on fxp0 from 169.254.0.0/16 to any 
block in log quick on fxp0 from 224.0.0.0/3 to any 
block in log quick on fxp0 from 204.152.64.0/23 to any 
block in log quick on fxp0 from x.x.x.x/32 to any 
block in log quick on fxp0 from any to x.x.x.0/32 
block in log quick on fxp0 from any to x.x.x.255/32

以上為屏蔽具備內部網絡地址的數據包被轉發到外部網絡

pass in quick on fxp0 proto tcp from any to any port = 80 flags S/SA keep state
pass in quick on fxp0 proto tcp from any to any port = ftp flags S/SA keep state 
pass in quick on fxp0 proto tcp from any to any port = ftp-data flags S/SA keep state 
pass in quick on fxp0 proto tcp from any to any port 30000 >< 50001 flags S/SA keep state

以上為允許www和ftp進入,并且允許對ftp數據端口的數據進行轉發

block in quick on fxp0 all

禁止其他的連接進入fxp0

block in log quick on fxp0 proto icmp from any to any icmp-type redir 
block in log quick on fxp0 proto icmp from any to any 
block in log quick on fxp0 proto icmp from any to any icmp-type echo

以上為禁止別人ping我得網絡

block return-rst in log on fxp0 proto tcp from any to any flags S/SA 
block return-icmp(net-unr) in log on fxp0 proto udp from any to any

以上對其他tcp請求,防火墻回應一個RST數據包關閉連接。對UDP請求,防火墻回應網絡不可達到的ICMP包。

或者在/etc/sysctl.conf中加入:

net.inet.tcp.blackhole=2 
net.inet.udp.blackhole=1

能夠有效地避免端口掃描

3、然后編輯/etc/rc.conf,加入一下命令,讓ipfilter和ipnat在系統啟動的時候可以自動加載:

ipfilter_enables=”YES” 
ipf –C –f /etc/ipf.rules 
ipfilter_flags=”-E” 
ipnat_enable=”YES” 
ipnat_program=”/sbin/ipnat –CF -f” 
ipnat_rules=”/etc/ipnat.rules” 
ipmon_enable=”YES” 
ipmon_flags=”-D /var/log/ipfilter.log”

4、在/usr/log/建立文件ipfilter.log,并更改其屬性為755,這樣你的防火墻日志就記錄到/var/log/ipfilter.log文件中,可以隨時對其進行查看。

四、設置FTP服務器,使其支持被動連接(pasv)

1.Proftpd:編輯你的proftpd的配置文件proftpd.conf,加入一下內容:

MasqueradeAddress x.x.x.x 
PassivePorts 30001 50000

2.Pure-ftpd:編輯你的FTP配置文件,加入一下內容:

PassivePortRange 30001 50000 
ForcePassiveIP x.x.x.x

3.Serv-U:

a、在serv-U的”本地服務器”―――”設置”―――”高級”―――”PASV端口范圍”輸入30001 50000

b、在serv-U的”域”―――”你自己建立的域”―――”設置”―――”高級”選中”允許被動模式傳送”,” 使用IP”輸入:x.x.x.x

相關文章 熱門文章
  • 騰訊,在創新中演繹互聯網“進化論”
  • 華科人 張小龍 (中國第二代程序員 QQ郵箱 Foxmail)
  • 微軟推出新功能 提高Hotmail密碼安全性
  • 快壓技巧分享:秒傳郵件超大附件
  • 不容忽視的郵件營銷數據分析過程中的算法問題
  • 國內手機郵箱的現狀與未來發展——訪尚郵創始人Sandy
  • 易觀數據:2011Q2中國手機郵箱市場收入規模
  • 穿越時空的愛戀 QQ郵箱音視頻及賀卡郵件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵鄰居網絡發騷擾郵件 美國男子被重判入獄18年
  • 網易郵箱莫子睿:《非你莫屬》招聘多過作秀
  • 中國電信推廣189郵箱綠色賬單
  • NetBSD操作系統在VMware下的安裝指南
  • OpenBSD入門
  • SCO UNIX系統安裝全圖解
  • 怎樣選擇服務器操作系統?
  • Netware 6.5操作系統安裝全程圖解
  • 在Fedora core 4.0 加載NTFS和FAT32分區詳述
  • IBM專家解析UNIX和Windows之間區別
  • Gentoo 完整的USE參數清單中文詳解
  • Fedora Core下聲卡驅動全功略
  • 建立針對arm-linux的交叉編譯環境
  • Debian服務器設置入門教程之一
  • OpenBSD2.8服務器配置實務手冊
  • 自由廣告區
     
    最新軟件下載
  • SharePoint Server 2010 部署文檔
  • Exchange 2010 RTM升級至SP1 教程
  • Exchange 2010 OWA下RBAC實現的組功能...
  • Lync Server 2010 Standard Edition 標..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服務器部署文檔
  • 《Exchange 2003專家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日郵件技術文章
  • 騰訊,在創新中演繹互聯網“進化論”
  • 華科人 張小龍 (中國第二代程序員 QQ...
  • 微軟推出新功能 提高Hotmail密碼安全性
  • 快壓技巧分享:秒傳郵件超大附件
  • 不容忽視的郵件營銷數據分析過程中的算..
  • 國內手機郵箱的現狀與未來發展——訪尚..
  • 易觀數據:2011Q2中國手機郵箱市場收入..
  • 穿越時空的愛戀 QQ郵箱音視頻及賀卡郵件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵鄰居網絡發騷擾郵件 美國男子被重..
  • 網易郵箱莫子睿:《非你莫屬》招聘多過..
  • 中國電信推廣189郵箱綠色賬單
  • 最新專題
  • 鳥哥的Linux私房菜之Mail服務器
  • Exchange Server 2010技術專題
  • Windows 7 技術專題
  • Sendmail 郵件系統配置
  • 組建Exchange 2003郵件系統
  • Windows Server 2008 專題
  • ORF 反垃圾郵件系統
  • Exchange Server 2007 專題
  • ISA Server 2006 教程專題
  • Windows Vista 技術專題
  • “黑莓”(BlackBerry)專題
  • Apache James 專題
  • 分類導航
    郵件新聞資訊:
    IT業界 | 郵件服務器 | 郵件趣聞 | 移動電郵
    電子郵箱 | 反垃圾郵件|郵件客戶端|網絡安全
    行業數據 | 郵件人物 | 網站公告 | 行業法規
    網絡技術:
    郵件原理 | 網絡協議 | 網絡管理 | 傳輸介質
    線路接入 | 路由接口 | 郵件存儲 | 華為3Com
    CISCO技術 | 網絡與服務器硬件
    操作系統:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系統
    郵件服務器:
    程序與開發 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛郵件系統 | 其它 |
    反垃圾郵件:
    綜述| 客戶端反垃圾郵件|服務器端反垃圾郵件
    郵件客戶端軟件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鳥 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    電子郵箱: 個人郵箱 | 企業郵箱 |Gmail
    移動電子郵件:服務器 | 客戶端 | 技術前沿
    郵件網絡安全:
    軟件漏洞 | 安全知識 | 病毒公告 |防火墻
    攻防技術 | 病毒查殺| ISA | 數字簽名
    郵件營銷:
    Email營銷 | 網絡營銷 | 營銷技巧 |營銷案例
    郵件人才:招聘 | 職場 | 培訓 | 指南 | 職場
    解決方案:
    郵件系統|反垃圾郵件 |安全 |移動電郵 |招標
    產品評測:
    郵件系統 |反垃圾郵件 |郵箱 |安全 |客戶端
    廣告聯系 | 合作聯系 | 關于我們 | 聯系我們 | 繁體中文
    版權所有:郵件技術資訊網©2003-2010 www.mpmgk.icu, All Rights Reserved
    www.mpmgk.icu Web Team   粵ICP備05009143號
    安徽快三开奖结果今天开奖号