Linux 版 (精华区)
发信人: lofe (『故乡Θ梧桐树』), 信区: Linux
标 题: Linux 2.4有状态防火墙设计(四)
发信站: 哈工大紫丁香 (2001年07月30日11:14:28 星期一), 站内信件
Linux 2.4有状态防火墙设计(四)
2001-07-28 10:25
发布者:netbull 阅读次数:175
第七章 构建更安全的服务器防火墙
服务器改进
通常可以使防火墙变得“更好”一点。当然,是不是“更好”要根据各人的特殊需
要而定。现有脚本可能会完全符合您的要求,但也可能需要进行附加调整。本章节
旨在充当各种想法的食谱,演示增强现有有状态防火墙的各种方法。
记录技术
目前,我们还没有讨论如何记录。有一种特殊目标 LOG 可以用于记录事物。在使
用 LOG 时,有一个特殊选项 "--log-prefix" 可以让您指定在包转储到系统日志
时出现的一些文本。以下是一个日志规则示例:
iptables -A INPUT -j LOG --log-prefix "bad input:"
不应将它作为第一个规则添加到 INPUT 链中,因为这将会为您接收的每个包都记
录一个记录项。事实上,应该将日志规则放到 INPUT 链的底层,以便记录陌生的
包和其它异常。
以下是关于 LOG 目标的重要注意事项。通常,当一条规则匹配时,会接受、拒绝
或删除某个包,不会再处理其它规则。但是,当日志规则匹配时,则会记录这个包
。但是却不会接受、拒绝或删除它。事实上,包会继续移动到下一个规则,如果日
志规则是链中的最后一个规则,那么将应用缺省链策略。
LOG 目标还可以与 "limit" 模块组合(在 iptables 帮助页面中描述),以使重
复记录项最小化。以下是一个示例:
iptables -A INPUT -m state --state INVALID -m limit --limit 5/minute
-j LOG --log-prefix "INVALID STATE:"
创建自己的链
iptables 可以让您创建自己的用户定义链,可以将这个链指定成规则中的目标。
如果想要了解如何完成此项任务,请花一些时间阅读 Rusty 的著作 http:
//netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.
html。
实施网络使用策略
对于那些想要对公司或高校 LAN 实施网络使用策略的人来说,火墙提供了许多强
大的功能。通过将添加添加到 FORWARD 链或设置 FORWARD 的策略,可以控制您的
机器将转发什么包。通过将规则添加到 OUTPUT 链,还可以对由 Linux 机器自身
的用户在本地生成的包采取什么操作。iptables 还有难以置信的能力,它可以根
据所有者(uid 或 gid)来过滤本地创建的包。如需有关此项功能的详细信息,请
在 iptables 帮助页面中搜索 "owner"。
其它安全性角落
在示例防火墙中,我们已经假设所有内部 LAN 通信流都是值得信任的,只有进入
因特网通信流必须受到严格监控。您的特定网络可能属于这种情况,也可以不属于
此类情况。当然没有什么事能阻止您配置防火墙,以防止进入 LAN 通信流。需要
考虑您想要保护的网络的其它“角落”。还应适当配置两个 LAN 安全性“专区”
,每个“专区”都有其自己的安全性策略。
第八章 参考资料
tcpdump
在本章节中,我将介绍许多参考资料,您会发现这些参考资料有助于创建自己的有
状态防火墙。让我们从一个重要工具开始……
tcpdump 是研究低级包交换和验证防火墙是否正常工作的必备工具。如果您还没有
,想方法弄到它。如果已经有了,则应该使用它。
netfilter.kernelnotes.org
http://netfilter.samba.org 是 netfilter 小组的主页。这个页面上有许多优秀
的参考资料,包括 iptables 源码,以及 Rusty 的著作 "unreliable guides"。
这些参考资料包括适用于开发人员的基本网络概念 HOWTO、netfilter (iptables)
HOWTO、NAT HOWTO 和 netfilter 破坏 HOWTO。 此外还有 netfilter FAQ 和其
它内容。
iptables 帮助页面
网上有许多好的再线 netfilter 参考资料;不过,不要忽略了基础知识。
iptables 帮助页面非常详尽,它是帮助页面的典范。它的确是一本有趣的读物。
高级 Linux 路由和通信流控制 HOWTO
现在有一本书叫做 Advanced Linux Routing and Traffic Control HOWTO。其中
有一段写得非常好,它演示了如何使用 iptables 来标记包,然后使用 Linux 路
由功能来根据这些标记路由包。注:此 HOWTO 包含了对 Linux 通信流控制(服务
质量)功能(通过新的 "tc" 命令访问)的参考。虽然这个新功能很棒,当有关它
的记载却很少,试图解决 Linux 通信流的所有问题在目前看来还是个非常困难的
任务。
邮件列表
现在有一个 netfilter (iptables) 邮件列表,还有一个 netfilter 开发人员邮
件列表。还可以利用再线 URL 访问邮件列表档案。
构建因特网防火墙,第 2 版
在 2000 年 6 月,OReilly 发行了一本好书 -- Building Internet Firewalls,
Second Edition。它是一本很棒的参考书,尤其是当您要配置防火墙、以接受(
或直接拒绝)您不熟悉的无名协议时,值得一看。
好,这就是我们的参考资料列表,教程结束了。我希望这个教程对您有所帮助,希
望您提出宝贵意见。
反馈意见
我们期望您对本教程提出宝贵意见。此外,欢迎通过 drobbins@gentoo.org 联系
作者 Daniel Robbins。
来源:IBM developerWorks 中国
--
伤离别,离别虽然在眼前
说再见,再见不会太遥远
若有缘,有缘就能期待明天
你和我重逢在灿烂的季节
朋友,珍重
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 172.16.7.88]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.048毫秒