这里提一个蛮简单的防火墙规划,我的硬件联机如上面的图标所示的那样,网络设定为:
· 外部网络使用 ppp0:由于是拨接的,所以实际对外是 ppp0 这一个界面;
· 内部网络使用 eth0 :这个 eth0 使用在内部网络的连接上面,而且网域为 192.168.1.0/24 这个 C Class;
· 主机开放的服务:目前我的主机虽然只有开放 NAT ,但是未来还会增加一些服务,目前我假设我的主机预计会有的对 Internet 上面启用的服务有:
o NAT
o WWW
o SSH
o SMTP
o POP3
o IMAP
o DNS
o FTP, Telnet, DHCP, NFS 都只对内部网域开放!
我们草拟的规则为:『关闭所有的,开放特定的』的模式,但是在政策上面( Policy )则先选择 ACCEPT ,然后在最后一行才以 NEW, INVALID 的状态来关闭所有的服务之 port 啦!而众所皆知的, iptables 所订定的规则为一条一条分析比对下去的,所以我们在 安排防火墙的规则 上面就显得特别的重要了!为了预防某些动作被搞混乱了,加上未来我们要以这个简易的防火墙进行更进一步的设定规划,所以这里我们需要用一个简单的流程图来示意!特别留意:这里我们总共用了三个档案,我放置的目录在
/usr/local/virus/iptables 里面,文件名分别为:
· iptables.rule :设定规则的档案,包括清除防火墙规则、加载模块、设定一些服务的登入与否等等!
· iptables.deny :设定恶意 IP 或网段的档案,里面完全都是抵挡的 IP 段落语法!
· iptables.allow:可以想成是一些自己设定的后门啦!因为我们不知道哪一天会出到外头去!这个时候,一个严格的防火墙说不定会挡死自己,所以需要加上一些 IP 的开放啰!
注意:每次修改完了任何一个档案,要立刻生效的话,请执行 iptables.rule 即可!而整个的流程有点像底下这样:
 |
上面是我个人建议的小小流程,原则上,内部与主机的开放度很高,因为 Output 与 Forward 是完全开放不理的!对于小家庭的主机是可以接受的,因为我们内部的计算机数量不多,而且人员都是熟悉的,所以不需要特别加以控管!但是:『在大企业的内部,这样的规划是很不合格的,因为你不能保证内部所有的人都可以按照您的规定来使用 Network !』也就是说『家贼难防』呀!因此,连 Output 与 Forward 都需要特别加以管理才行!
