运用网吧软路由配置防火墙的基本原则
假定我们有一个当地网经过网吧路由衔接到internet,那么根本的防火墙构建准则由以下几局部构成:
1、维护路由防止没有认证的拜访
必需监控那些到路由的衔接。只能答应某些特定的主机到路由某些特定的tcp端口的拜访。这项任务可以在input中设置,以便比拟匹配经过路由一切衔接界面到路由目标地址的数据包。
2、维护当地主机
必需监控那些到当地网络地址的衔接。只要有权到某些主机服务的衔接才干被答应。这项任务可以在forward中设置,以便比拟匹配决议经过路由一切衔接界面到当地网路目标地址的数据包。
3、应用nat将当地的网络埋没在一个公网的ip后面。
一切当地网络的衔接被假装成来自路由自身的公网地址。这项任务可以经过启用假装行为来完成源地址转换规矩。
4、强迫当地网络衔接到公网的拜访准则。
必需监控那些来自当地网络地址的衔接。这项任务可以经过forward中设置,或许经过假装哪些被答应的衔接来完成。数据的过滤会对router的功能形成必然的影响,为了把这个影响降到最低,这些过滤的规矩必需放在各个chain的顶部。这个在传输节制和谈选项non-syn-only中。
防火墙过滤实例
完成目的:
目的1、让路由只答应来自10.5.8.0/24网络地址的拜访。
目的2、维护当地主机(192.168.0.0/24)远离未受权的拜访。
目的3、让公网可以拜访当地主机192.168.0.17的http和smtp服务。
目的4、只答应当地网络中的主机进行icmpping操作。强迫运用在192.168.0.17主机上的署理服务。
假定我的网络设置如下:
公网ip:10.0.0.217/24网关ip:10.0.0.254
内网ip:192.168.0.254/24内网服务器地址:192.168.0.17/24
step1
为了完成第一个目的,我们必需对一切经过路由的数据包进行过滤,只承受哪些我们答应的数据。由于一切经过