[问题求助]如何快速建立一个Iptable防火墙 [复制链接]

如何快速建立一个.Iptable防火墙           建材
楚广明
现在整个internet正在遭受蠕虫的..侵害，特别是基于微软公司的产品由为严重，幸运的是，我们公司的的服务器大.部分没有运行微软的产品，所以没有受尼姆达病毒和近来Sql 蠕虫病毒的影响。.
蠕虫病毒蚕食网络带宽并且感染所有缺陷主机,并且有些蠕.虫病毒以达到堵塞整个互联网的能力（比如前几天发生的Sql 蠕虫病毒事件）,所以如果建立一个安全的防火墙对于一个网管来说是特别.重要的.,现在我将带着大家来编写一个防火墙规则，在这里我们使用最新的基于Linux2.4内核的Iptables来编写。以下的这些例子并不能建立一个完美的防火墙，它只是告诉管理员如何来防范一些.典型的攻击，希望对.大家有帮助。
什么是Iptables?
        在Linux2.2的时.候我们使用ipchains来控制防火墙，对于传统的防火墙策略，Ipchains可以很好的工作。我们仍然在一些基于2..2内核的机器上.使用它.，但是因为2.4内核在一些重负载下工作时效率很高并有很高的效能，所以我推荐大家升级内核。          婚庆
        2.4.内核提供了很多网络功能是2..2内核所不具备的，特加是提供了有状态防火墙这种技术，可以说iptables防火墙的功能，在某种程.度上比国内某某防火墙要强很多（个人观点）。           建材
.       使用Iptables.
        iptables这个命令使用很简单：首先执行iptables要有root的权限，但是如果你直接使用的.话，可能.会出现以下消息。健康
[root@jd .root]# /sbin/iptab.les--- 印刷
iptab.les v1.2.1: no command spec.ified.
Try `iptables. -h' or 'iptables --help' for more .information..
[root@jd root].# .
如果你想输出一些可用的选项的话，请使用-h参数，-h.参数将返回以.下输出信息。    美容
root@jd root]# /sbin/..iptables -h           建材
iptables v1.2..1电影
Usage: iptables -[ADC] c.hain rule-specification [opti.ons].
       iptables -[RI] chain r.ulenum rule-specification [optio.ns]服务器
       iptab.les -.D chain rulenum [options]           建材
       iptable.s -[LFZ] [.chain] [options]          婚庆
       iptabl.es .-[NX] chain.
       iptables -.E old-cha.in-name new-chain-name电影
       iptables -P .chain target [option.s]           女人
       iptabl.es -h (print this help i.nformation)(广告)
Commands:
Either long or short options are ..allowed.[成人用品]
  --append  -A chain           . Append .to chain           女人
  --delete  .-D chain            De.lete matching rule from chain电影
. --delete  -D ch.ain rulenum           女人
  [...]
在这篇文章中我不准备解释所有的iptables参数，因为.它们实在是太多了，.如果你需要一个高级的iptables指南的话，请你参看 Linux2.4 .Packet Filtering Howto。投资
当我们为一个桌面级的机器设置一个防火墙.时，它的实现是非常简单的，我们先加入一条iptables链，它的作用是丢弃所有的syn请求，当完成这条语句.之后，我们可以在本机访问多面的Web页面，s.sh服务，Icq等等.网络服务，但是当外面有机器对你进行请求连接时，这些请求将完全被丢弃，语句如下：           女人
/sbin/iptables .-A INPUT -p tcp --.syn -j DROP投资
但是大家可.能发现了，如果使用以上语句，我们.将无法远程的管理自已的机器，这个时候我们可以开启22号ssh服务端口，使其可以提供服务，实现语句如下：电脑
/sbin/iptables -A I.NPUT -p tcp --syn --des.tination-port 22 -j ACCEPT电脑
/sbin/ip.tables -A INPUT -p tcp .--syn -j DROP.
但是这条语句看起来也不是很好，因为这台机器看起来有点像一个谁都可能访问的服务.器，谁都可以通来22号端口来访问它，这时我们可以做一个限.制，使这台机器只接受来之于指定机器IP的ssh请求服务，并且提供一个.Web服务，我们可以通过一个-s.的选项来帮助我们实现,假设我们指定192.168.1.110这台机器，语句实现如下：          婚庆

/sbin/iptables -A INPUT -p tcp --syn -s 192.168.1.110/32 -.-destinati.o.n-port 22 -j ACCEPT健康
/sbin/iptables -A INPUT -p tcp --syn --destina.tion-p.ort 80 -j ACCEPT(广告)
/.sbin/iptab.les -A INPUT -p tcp --syn -j DROP服务器
现到这里，有.点累了。。。。。。.

是呀，说下去呀