歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

Linux 2.4有狀態防火牆設計(四)

  第七章 構建更安全的服務器防火牆 服務器改進 通常可以使防火牆變得“更好”一點。當然,是不是“更好”要根據各人的特殊需要而定。現有腳本可能會完全符合您的要求,但也可能需要進行附加調整。本章節旨在充當各種想法的食譜,演示增強現有有狀態防火牆的各種方法。 記錄技術 目前,我們還沒有討論如何記錄。有一種特殊目標 LOG 可以用於記錄事物。在使用 LOG 時,有一個特殊選項 "--log-prefix" 可以讓您指定在包轉儲到系統日志時出現的一些文本。以下是一個日志規則示例: iptables -A INPUT -j LOG --log-prefix "bad input:" 不應將它作為第一個規則添加到 INPUT 鏈中,因為這將會為您接收的每個包都記錄一個記錄項。事實上,應該將日志規則放到 INPUT 鏈的底層,以便記錄陌生的包和其它異常。 以下是關於 LOG 目標的重要注意事項。通常,當一條規則匹配時,會接受、拒絕或刪除某個包,不會再處理其它規則。但是,當日志規則匹配時,則會記錄這個包。但是卻不會接受、拒絕或刪除它。事實上,包會繼續移動到下一個規則,如果日志規則是鏈中的最後一個規則,那麼將應用缺省鏈策略。 LOG 目標還可以與 "limit" 模塊組合(在 iptables 幫助頁面中描述),以使重復記錄項最小化。以下是一個示例: iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute -j LOG --log-prefix "INVALID STATE:" 創建自己的鏈 iptables 可以讓您創建自己的用戶定義鏈,可以將這個鏈指定成規則中的目標。如果想要了解如何完成此項任務,請花一些時間閱讀 Rusty 的著作 http://netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.Html。 實施網絡使用策略 對於那些想要對公司或高校 LAN 實施網絡使用策略的人來說,火牆提供了許多強大的功能。通過將添加添加到 FORWARD 鏈或設置 FORWARD 的策略,可以控制您的機器將轉發什麼包。通過將規則添加到 OUTPUT 鏈,還可以對由 Linux 機器自身的用戶在本地生成的包采取什麼操作。iptables 還有難以置信的能力,它可以根據所有者(uid 或 gid)來過濾本地創建的包。如需有關此項功能的詳細信息,請在 iptables 幫助頁面中搜索 "owner"。 其它安全性角落 在示例防火牆中,我們已經假設所有內部 LAN 通信流都是值得信任的,只有進入因特網通信流必須受到嚴格監控。您的特定網絡可能屬於這種情況,也可以不屬於此類情況。當然沒有什麼事能阻止您配置防火牆,以防止進入 LAN 通信流。需要考慮您想要保護的網絡的其它“角落”。還應適當配置兩個 LAN 安全性“專區”,每個“專區”都有其自己的安全性策略。 第八章 參考資料 tcpdump 在本章節中,我將介紹許多參考資料,您會發現這些參考資料有助於創建自己的有狀態防火牆。讓我們從一個重要工具開始…… tcpdump 是研究低級包交換和驗證防火牆是否正常工作的必備工具。如果您還沒有,想方法弄到它。如果已經有了,則應該使用它。 netfilter.kernelnotes.org http://netfilter.samba.org 是 netfilter 小組的主頁。這個頁面上有許多優秀的參考資料,包括 iptables 源碼,以及 Rusty 的著作 "unreliable guides"。這些參考資料包括適用於開發人員的基本網絡概念 HOWTO、netfilter (iptables) HOWTO、NAT HOWTO 和 netfilter 破壞 HOWTO。 此外還有 netfilter FAQ 和其它內容。 iptables 幫助頁面 網上有許多好的再線 netfilter 參考資料;不過,不要忽略了基礎知識。iptables 幫助頁面非常詳盡,它是幫助頁面的典范。它的確是一本有趣的讀物。 高級 Linux 路由和通信流控制 HOWTO


現在有一本書叫做 Advanced Linux Routing and Traffic Control HOWTO。其中有一段寫得非常好,它演示了如何使用 iptables 來標記包,然後使用 Linux 路由功能來根據這些標記路由包。注:此 HOWTO 包含了對 Linux 通信流控制(服務質量)功能(通過新的 "tc" 命令訪問)的參考。雖然這個新功能很棒,當有關它的記載卻很少,試圖解決 Linux 通信流的所有問題在目前看來還是個非常困難的任務。 郵件列表 現在有一個 netfilter (iptables) 郵件列表,還有一個 netfilter 開發人員郵件列表。還可以利用再線 URL 訪問郵件列表檔案。 構建因特網防火牆,第 2 版 在 2000 年 6 月,OReilly 發行了一本好書 -- Building Internet Firewalls, Second Edition。它是一本很棒的參考書,尤其是當您要配置防火牆、以接受(或直接拒絕)您不熟悉的無名協議時,值得一看。 好,這就是我們的參考資料列表,教程結束了。我希望這個教程對您有所幫助,希望您提出寶貴意見。 反饋意見 我們期望您對本教程提出寶貴意見。此外,歡迎通過 [email protected] 聯系作者 Daniel Robbins。



Copyright © Linux教程網 All Rights Reserved