首頁 | 安全文章 | 安全工具 | Exploits | 本站原創 | 關于我們 | 網站地圖 | 安全論壇
  當前位置:主頁>安全文章>文章資料>網絡安全>文章內容
用Iptables+Fedora做ADSL 路由器
來源:vfocus.net 作者:vitter 發布時間:2004-04-13  

用Iptables+Fedora做ADSL 路由器

注:所有在"[ ]" 中的都是應該直接在命令行敲入的命令
1.前言
最近在幫一個朋友做他們公司的ADSL網關路由, 原來是用FreeBSD做的,現在給他重新用Red Hat Linux 做.
2.安裝準備和環境說明
1) Fedora 1.0(redhat10.0) 最小化安裝, 直接選擇安裝類型中的Custom,然后在包安裝時選擇最下面的選項 "最小化安裝", 此模式用于做路由網關已經完全足夠
3.軟件調整
1)rp-pppoe
直接執行它的配置命令即可:
[ adsl-start ]
Welcome to the Roaring Penguin ADSL client setup. First, I will run
some checks on your system to make sure the PPPoE client is installed
properly...
Looks good! Now, please enter some information:
USER NAME
>>> Enter your PPPoE user name : [enter ADSL-Login-UserName here]
INTERFACE
>>> Enter the Ethernet interface connected to the ADSL modem
For Solaris, this is likely to be something like /dev/hme0.
For Linux, it will be ethn, where n is a number.
(default eth1): [Enter your right interface here. normaly should be eth0 or eth1]
>>> Enter the demand value (default no): [缺省值就可以了, 直接回車]
DNS
>>> Enter the DNS information here: [server] # server 表示DNS 由ISP 指定
PASSWORD
>>> Please enter your PPPoE password: [] # ADSL撥號的密碼
>>> Please re-enter your PPPoE password:
FIREWALLING
The firewall choices are:
0 - NONE: This script will not set any firewall rules. You are responsible
for ensuring the security of your machine. You are STRONGLY
recommended to use some kind of firewall rules.
1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation
2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway for a LAN
>>> Choose a type of firewall (0-2): [2] #還是要防火墻比較好
** Summary of what you entered **
Ethernet Interface: eth1
User name: ddtthz!Internet
Activate-on-demand: No
DNS: server
Firewalling: NONE
>>> Accept these settings and adjust configuration files (y/n)? [y] # 完成!
2) 網絡環境描述
(1) /etc/sysctl.conf
net.ipv4.ip_forward = 1
(2) eth0 接ADSL 線, eth1 (192.168.1.4/24) 連接內部LAN(192.168.1.0/24)
3)iptables
對于熟悉Ipchains的管理員應該注意的事項:
iptables與ipchains的區別
  •iptables的缺省鏈的名稱從小寫換成大寫,并且意義不再相同:INPUT和OUTPUT分別放置對目的地址是本機以及本機發出的數據包的過慮規則。
  •-i選項現在只代表輸入網絡接口,輸入網絡接口則使用-o選項。
  •TCP和UDP端口現在需要用--source-port或--sport(或--destination-port/--dport)選項拼寫出來并且必須置于"-p tcp"或"-p udp"選項之后,因為它們分別是載入TCP和UDP擴展的。
  •以前TCP的"-y"標志現在改為"--syn",并且必須置于"-p tcp"之后。
  •原來的DENY目標最后改為了DROP。
  •可以在列表顯示單個鏈的同時將其清空。
  •可以在清空內建鏈的同時將策略計數器清零。
  •列表顯示鏈時可顯示計數器的當前瞬時值。
  •REJECT和LOG現在變成了擴展目標,即意味著它們成為獨立的內核模塊。
  •鏈名可以長達31個字符。
  •MASQ現在改為MASQUERADE,并且使用不同的語法。REDIRECT保留原名稱,但也改變了所使用的語法。
設計思路:
(1) 首先禁止轉發任何包,然后再一步步設置允許通過的包。
[ /sbin/iptables -P FORWARD DROP ]
(2) MASQUERADE the PPP link
[ /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE ]
(3) 允許兩臺特定的機器可以訪問外部WWW,以MAC地址為依據
[/sbin/iptables -A FORWARD -m mac --mac-source 00-11-d4-f0-39-53 -p tcp --dport 80 -j ACCEPT
]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-e1-4f-32-39-3f -p tcp --dport 80 -j ACCEPT]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-11-d4-f0-39-53 -p tcp --dport 443 -j ACCEPT
]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-e1-4f-32-39-3f -p tcp --dport 443 -j ACCEPT]
(4) 允許SMTP 和POP3 以及IMAP
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -i eth1 -j ACCEPT]
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -i eth1 -j ACCEPT]
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 143 -i eth1 -j ACCEPT]
(5)拒絕其它機器訪問internet www
[ /sbin/iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j REJECT]

[/sbin/iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 443 -j REJECT]
(6)禁止 MSN
[/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT ]
[/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT]
(7)接收來自FTP的數據通道
[/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 192.168.1.0/24 -i ppp0 -j ACCEPT]
(8)接收來自Internet 的UDP數據包
[/sbin/iptables -A FORWARD -p udp -d 192.168.1.0/24 -i ppp0 -j ACCEPT]
(9)接收來自Internet的非連接請求tcp包
[ /sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 ! -syn -i ppp0 -j ACCEPT]
(10) 在前面限制的基礎上,接受來自整個Intranet的數據包過,定義如下規則:
[ /sbin/iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j ACCEPT ]



 
[推薦] [評論(0條)] [返回頂部] [打印本頁] [關閉窗口]  
匿名評論
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。
 §最新評論:
  熱點文章
·一句話木馬
·samcrypt.lib簡介
·教你輕松查看QQ空間加密后的好友
·web sniffer 在線嗅探/online ht
·SPIKE與Peach Fuzzer相關知識
·Cisco PIX525 配置備忘
·檢查 Web 應用安全的幾款開源免
·asp,php,aspx一句話集合
·Md5(base64)加密與解密實戰
·NT下動態切換進程分析筆記
·風險評估中的滲透測試
·QQ2009正式版SP4文本信息和文件
  相關文章
·用訪問控制列表實現網絡單向訪問
·JSP安全編程實例淺析
·國內網絡安全風險評估市場與技術
·分布式拒絕服務攻擊(tfn2k)攻擊
·用自由軟件構建中小企業弱點評估
·Linux內核漏洞淺析
·SSL是如何工作的
·Linux kernel幾個漏洞得簡單介紹
·防范DDOS攻擊 不一定要求服務器
·FTP協議的分析和擴展
·DLL后門清除完全篇
·LAMP 架構服務器性能優化建議
  推薦廣告
CopyRight © 2002-2020 VFocuS.Net All Rights Reserved
期本期特码