ROS软路由论坛 ROSABC.com

 找回密码
 会员注册

QQ登录

只需一步,快速开始

查看: 56223|回复: 216

[Firewall防火墙] [防火墙规则事例] 我先从 input 链表开始,这里是对所有访问

  [复制链接]

12

主题

12

帖子

1

活跃分

新手上路

Rank: 1

积分
43
发表于 2013-4-21 02:25:56 | 显示全部楼层 |阅读模式
软路由
防火墙规则事例

我先从 input 链表开始,这里是对所有访问路由的数据进行过滤和处理:
游客,如果您要查看本帖隐藏内容请回复



从 input 链表的第一条开始执行,这里一共有三条规则:

0 ;;; 接受你信任的 IP 地址访问(src-address=填写信任 IP,默认允许任何地址)
chain=input src-address=192.168.100.2 action=accept
1 ;;; 丢弃非法连接
chain=input connection-state=invalid action=drop
2 ;;; 丢弃任何访问数据
chain=input action=drop

下面是 forward 链表
9.2.2.jpg


forward 链表,一共有 7 条规则,包括两个跳转到自定义链表 ICMP 和 virus 链表:

0 ;;; 接受已建立连接的数据
chain=forward connection-state=established action=accept
1 ;;; 接受相关数据
chain=forward connection-state=related action=accept
2 ;;; 丢弃非法数据包

chain=forward connection-state=invalid action=drop
3 ;;; 限制每个主机 TCP 连接数为 80 条
chain=forward protocol=tcp connection-limit=80,32 action=drop
4 ;;; 丢弃掉所有非单播数据
chain=forward src-address-type=!unicast action=drop
5 ;;; 跳转到 ICMP 链表
chain=forward protocol=icmp action=jump jump-target=ICMP
6 ;;; 跳转到病毒链表
chain=forward action=jump jump-target=virus

forward 工作过程如下:  
9.2.3.jpg


在自定义链表 ICMP 中,是定义所有 ICMP(Internet 控制报文协议),ICMP 经常被认为是 IP 层的一个组成部分。它传 递差错报文以及其他需要注意的信息。ICMP 报文通常被 IP 层或更高层协议(TCP 或 UDP)使用。例如:ping、traceroute、 trace TTL 等。我们通过 ICMP 链表来过滤所有的 ICMP 协议:
9.2.4.jpg


ICMP 链表操作过程:

0 ;;; Ping 应答限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept
1 ;;; Traceroute 限制为每秒 5 个包

chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept
2 ;;; MTU 线路探测限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept
3 ;;; Ping 请求限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept
4 ;;; Trace TTL 限制为每秒 5 个包
chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept
5 ;;; 丢弃掉任何 ICMP 数据
chain=ICMP protocol=icmp action=drop

ICMP 类型:代码值

通过指令保护你的路由器和相连接私有网络,你需要通过配置防火墙丢弃或拒绝 ICMP 协议的传输。然而一些ICMP 数据包则需要用来维护网络和故障判断用。

下面是 ICMP 类型列表:通常下面的 ICMP 传输建议被允许通过

Ping

o 8:0 – 回应请求

o 0:0 – 回应答复

Trace

o 11:0 – TTL 超出

o 3:3 – 端口不可到达

路径 MTU 探测

o 3:4 – 分段存储 Fragmentation-DF-Set

一般 ICMP 过滤建议:

-- 允许 ping—ICMP 回应请求向外发送和回应答复进入

-- 允许 traceroute—TTL 超出和端口不可到达信息进入

-- 允许路径 MTU—ICMP Fragmentation-DF-Set 信息进入

-- 阻止其他任何数据

在 virus 链表中过滤常见的病毒,我可以根据需要在该链表中添加新的病毒对他们做过滤:
游客,如果您要查看本帖隐藏内容请回复



阻止不必要的 IP 广播:

add chain=forward src-address=0.0.0.0/8 action=drop add chain=forward dst-address=0.0.0.0/8 action=drop add chain=forward src-address=127.0.0.0/8 action=drop add chain=forward dst-address=127.0.0.0/8 action=drop add chain=forward src-address=224.0.0.0/3 action=drop add chain=forward dst-address=224.0.0.0/3 action=drop

建立新的跳转数据链(chains):

add chain=forward protocol=tcp action=jump jump-target=tcp add chain=forward protocol=udp action=jump jump-target=udp add chain=forward protocol=icmp action=jump jump-target=icmp

建立 tcp-chain 并拒绝一些 tcp 端口:

add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

在 udp-chain 中拒绝非法的 udp 端口 Deny udp ports in udp chain:

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"

add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

在 icmp-chain 允许相应需要的 icmp 连接:

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop invalid connections"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
comment="allow established connections"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
comment="allow already established connections"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"

点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

68

帖子

3

活跃分

初级会员

Rank: 2

积分
75
发表于 2013-5-28 09:07:02 | 显示全部楼层
rythtgfhfghyjytjkujytjyjyt
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

7

帖子

0

活跃分

新手上路

Rank: 1

积分
9
发表于 2013-6-13 04:49:59 | 显示全部楼层
继续学习
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

103

帖子

296

活跃分

高级会员

Rank: 4

积分
785
发表于 2013-6-13 09:38:03 | 显示全部楼层
SEE SEE SEE SEE
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

13

帖子

15

活跃分

新手上路

Rank: 1

积分
16
发表于 2013-6-21 21:47:32 | 显示全部楼层
****************
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

13

帖子

44

活跃分

初级会员

Rank: 2

积分
104
发表于 2013-6-23 05:57:06 | 显示全部楼层
好帖要顶,楼主的头像还是不错滴

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

                               
登录/注册后可看大图
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

489

主题

492

帖子

82

活跃分

初级会员

Rank: 2

积分
103
发表于 2013-6-23 12:53:08 | 显示全部楼层
什麼都得回覆才能看,煩不煩啊/
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

17

帖子

35

活跃分

新手上路

Rank: 1

积分
35
发表于 2013-7-21 14:10:12 | 显示全部楼层
呵呵  受益匪浅的好帖子
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

9

帖子

25

活跃分

新手上路

Rank: 1

积分
34
发表于 2013-7-22 21:17:34 | 显示全部楼层
看一下看一下
点击右上角的[设置]-->[个人信息],可更改此处您的签名。

0

主题

10

帖子

127

活跃分

中级会员

Rank: 3Rank: 3

积分
232
发表于 2013-7-30 11:04:02 | 显示全部楼层
我只是来看看,嘻嘻
点击右上角的[设置]-->[个人信息],可更改此处您的签名。
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则


软路由

不良信息举报Q:2000617|Archiver|小黑屋|ROS软路由论坛 ROSABC.com

GMT+8, 2021-6-18 01:56 , Processed in 0.155308 second(s), 27 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表