C++博客-LIULIANG-随笔分类-linux

网卡工作原理

BIG森林 — Thu, 22 Nov 2012 10:01:00 GMT

网卡工作原理

Linux操作系统的功能可以概括为进程管理、内存管理、文件系统管理、设备管理、网络等几部分。所有的系统操作最终都可以映射到对物理设备的操作。除去对CPU、内存以及其他少数几个物理实体的操作之外，系统对其他设备的所有操作都通过专门的称为驱动程序的代码完成。系统中存在的每种外设在内核中都必须有对应的设备驱动程序对其进行处理。所以分析网卡的工作原理即是分析网卡的驱动程序。

网络是独立的一个模块。为了屏蔽网络环境中物理网络设备的多样性，Linux对所有的设备进行抽象并定义了一个统一的概念，称之为接口。所有对网络硬件的访问都是通过接口进行的，接口提供了一个对所有类型的硬件一致化的操作集合来处理基本数据发送和接收。一个网络接口被看作是一个发送和接收数据包的实体。对于每个网络接口，都用一个net_device的数据结构来表示。net_device中有很多提供系统访问和协议层调用的设备方法，包括提供设备初始化和往系统注册用的init函数，打开和关闭网络设备的open和stop函数，处理数据包发送的函数hard_start_xmit，以及中断处理函数。

所有被发送和接收的包都用数据结构sk_buff表示。要发送数据时，网络系统将分局系统路由表选择相应的网络接口进行数据传输；当接收数据包时，通过驱动程序登记的中断服务程序进行数据的接口处理。

Linux网络驱动程序崇尚倒下分为四层：协议接口层、网络设备接口层、设备驱动功能层、网络设备和网络媒介层。如下图所示：

网卡初始化

网络设备初始化主要工作时检测设备的存在、初始化描述设备的net_device结构及在系统中登记该设备。在系统初始化完成以后，系统检测到的网络设备将保存在链表dev_base中，其中每个链表单元net_device对应一个存在的物理网络设备。

初始化过程首先检测网络物理设备是否存在，这是通过检测物理设备的硬件特征来完成；然后对设备进行资源配置，这些完成之后就要构造设备的net_device数据结构，用检测到值对net_device中的变量初始化；最后Linux内核中注册该设备并申请内存空间。

网卡的打开与关闭

为了使用网络设备，需要打开网卡，打开和关闭的一个接口是由shell命令ifconfig调用的，而ifconfig则要调用一个通用的设备打开函数dev_open（net/core/dev.c），相应的还有一个dev_close函数，这两个函数提供独立于设备的操作接口的打开和关闭功能。一般打开函数执行的操作包括注册中断函数，分配并初始化网卡所需要的接收与发送缓冲区，启动硬件检查网络连接线状态等。

数据包的发送与接收

数据包的发送和接收是实现Linux网络驱动程序中两个最关键的过程。

当物理网络设备接收到数据是，系统通过两种途径解决这个问题。一种方法是轮询方式，另一种方式是中断法师。

在轮询方式中，系统每隔一定的时间间隔就去检查一次物理设备，若设备有数据到达，就调用读取数据的程序。Linux中通过定时器实现，但是此法有一个明显的缺点：不管设备是否有数据，系统总是要固定的消耗CPU资源去查看设备，并且可能对一些紧急数据处理予以延迟。从资源的利用率以及工作的效率上看都不是最优的。

中断方式利用硬件体系结构的中断机制实现设备和系统的应答对话，即当物理设备需要CPU处理数据时，就向CPU发送一个终端信号，系统则在收到信号后调用相应的中断服务程序响应对设备中断的处理。因此，基本在所有的网络设备驱动程序中都是用中断方式的。

每一个网卡上都有一块FIFO存储器，对于NIC（Network Interface Controller），FIFO存储器是用来通过系统总线传送数据到系统存储器之前，缓存从LAN上接收到的数据。对与快速以太网还有一个直接内存存取（DMA：Directly Memory Access）控制器，用于提供对系统存储器的可靠访问。

驱动为网卡分配一个环形缓冲区，在一段连续的物理内存中实现。

1、数据接收

（1）接收来自MAC的数据包，先暂存于片内FIFO接收队列；

（2）当接收器达到早期接收上线时就移至环形缓冲区；

（3）待整个数据包全部从FIFO移至缓存后，将接收状态寄存器和包长度写入接收的数据包头部，并更新CBA（Current Buffer Address）寄存器的值；

（4） CMD（Command）寄存器中的BufferEmpty位和ISR（中断状态寄存器）寄存器的ROK位置1，并发出ROK的中断；

（5） ISR中断调用完成后，清除ISR（ROK）并更新CAPR（Current Address of Packet Read，指向接收缓存的已读取包的地址），完成本次接收。

2、数据发送

（1）将待传送的数据写入主存中一段连续的缓存空间，由OS配合驱动程序完成；

（2）找到一个可用的描述器，并写入内容，包括该数据包的开始物理地址和传输状态字（包的大小、可传送下限、OWN位）；

（3） OWN位有效，将数据从缓存移至片内FIFO队列；

（4）当FIFO队列中的数据达到早期传送下限，NIC的传送单元就会启动，将数据顺序输出至线路；

（5）当整个数据包都已经传至FIFO，OWN位置1；

（6）当整个数据包都已经传至线路上， TOK寄存器置1；

（7）当TOK（IMR）和TOK（ISR）多置1，就发出TOK中断；

（8） TOK中断调用完成以后，清除TSD状态字，完成本次传送。

可以看出，网卡需要发送/接收数据，都必须以中断的方式告诉系统，系统处理中断后做出相应操作。

网卡存在一定大小的FIFO存储器，同时还有缓冲区，缓冲区是由系统以及驱动共同分配一段连续的物理内存，所有的发送/接收的数据，都必须通过FIFO已经缓冲区，只有一包数据都发送成功后，才能继续发送下一包数据。系统维护缓冲区，只有当缓冲区有空间时才会接受上层来的数据，而网卡处理数据的速率远高于接收数据的最大速率，因此在网卡上不会存在堵塞情况。

对编程而言，在应用层调用传输层函数send/sendto，使用套接字传送数据，屏蔽了底层的所有实现。此时，send/sendto函数是没有阻塞的，只要调用，必然有返回值，成功返回发送数据的长度，失败则返回负值（失败的主要原因是网络连接的问题），因此可能存在数据丢失的现象，需要写程序的时候保证数据的传输成功。但是只有send/sendto函数返回后，程序才会执行下一次发送，因此编程时没必要考虑数据会在传输层上出现阻塞。

转自：http://blog.chinaunix.net/uid-25839577-id-3035405.html

BIG森林 2012-11-22 18:01 发表评论

linux下IPTABLES配置详解

BIG森林 — Mon, 22 Oct 2012 01:42:00 GMT

linux下IPTABLES配置详解

如果你的IPTABLES基础知识还不了解,建议先去看看.

开始配置

我们来配置一个filter表的防火墙.

(1)查看本机关于IPTABLES的设置情况

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (0 references)
target       prot opt source                 destination
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0
ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255
ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0
ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0
ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353
ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631
ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80
ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25
REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.

如果你在安装linux时没有选择启动防火墙,是这样的

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么规则都没有.

(2)清除原有规则.

不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.

[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则

我们在来看一下

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.

[root@tp ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

[root@tp ~]# service iptables restart

现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧

(3)设定预设规则

[root@tp ~]# iptables -p INPUT DROP

[root@tp ~]# iptables -p OUTPUT ACCEPT

[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包

而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.

可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.

这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.

注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.

怎么办,去本机操作呗!

(4)添加规则.

首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链

为了能采用远程SSH登陆,我们要开启22端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.

其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)

如果做了WEB服务器,开启80端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服务器,开启53端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

如果你还做了其他的服务器,需要开启哪个端口,照写就行了.

上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP

允许icmp包通过,也就是允许ping,

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)

[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)

允许loopback!(不然会导致DNS无法正常关闭等问题)

IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.

减少不安全的端口连接

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP

[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会

还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.

当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加

允许SSH登陆一样.照着写就行了.

下面写一下更加细致的规则,就是限制到某台机器

如:我们只允许192.168.0.3的机器进行SSH连接

[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.

24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.

或采用命令方式:

[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT

然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.

[root@tp ~]# /etc/rc.d/init.d/iptables save

这样写 !192.168.0.3 表示除了192.168.0.3的ip地址

其他的规则连接也一样这么设置.

在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.

开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)

[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT

丢弃坏的TCP包

[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

处理IP碎片数量,防止攻击,允许每秒100个

[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.

[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

我在前面只所以允许ICMP包通过,就是因为我在这里有限制.

二,配置一个NAT表放火墙

1,查看本机关于NAT的设置情况

[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:211.101.46.235

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章

当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的

如果你想清除,命令是

[root@tp ~]# iptables -F -t nat

[root@tp ~]# iptables -X -t nat

[root@tp ~]# iptables -Z -t nat

2,添加规则

添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),

添加规则,我们只添加DROP链.因为默认链全是ACCEPT.

防止外网用内网IP欺骗

[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)

例：

禁止与211.101.46.253的所有连接

[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP

禁用FTP(21)端口

[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP

这样写范围太大了,我们可以更精确的定义.

[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP

这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.

按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.

最后：

drop非法连接
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用．

[root@tp ~]# service iptables restart

别忘了保存，不行就写一部保存一次．你可以一边保存，一边做实验，看看是否达到你的要求，

上面的所有规则我都试过，没有问题．

写这篇文章，用了我将近１个月的时间．查找资料，自己做实验，希望对大家有所帮助．如有不全及不完善的地方还请提出.

因为本篇文章以配置为主.关于IPTABLES的基础知识及指令命令说明等我会尽快传上,当然你可以去网上搜索一下,还是很多的.

转自：
http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

BIG森林 2012-10-22 09:42 发表评论

linux专用防火墙配置教程

BIG森林 — Sat, 20 Oct 2012 07:28:00 GMT

Linux操作系统的安全性是众所周知的，所以，现在很多企业的服务器，如文件服务器、WEB服务器等等，都采用的是Linux的操作系统。笔者所在的企业，有包括Oracle数据库服务器、文件备份服务器、邮件服务器、WEB服务器也都是采用Linux的服务器系统。今天，我就谈谈Linux是通过哪些技术来保障服务器的安全，来加强对网络的访问控制。

　　Linux内置防火墙主要是通过包过滤的手段来提高对网络的管理控制功能，从而提高网络与服务器的安全。

　　一、 Linux防火墙的工作原理

　　我们设想一下，一台Linux主机一般会作哪些数据包相关的工作。其实，我们可以把一台Linux形象的比喻成一个地铁车站。一个地铁车站一般有三个口子，一个是进口，乘客需要去做地铁的话，必须通过这个地铁的进口，而且必须凭合法的票子才能进去。第二个是出口，若乘客需要离开地铁站的话，则也必须凭着票子出站。三是一个中转的接口，也就是说，在地铁的中转站中，你可以直接通过过道到另外一条线上去。

　　而一台Linux主机也有三个口子。一个是进口(INPUT)，到这台主机的任何数据包都需要通过这个接口才能够进入Linux系统的应用程序空间。第二个是出口(OUTPUT)，从应用程序发送出去的任何数据包都必须通过这个出口，才能够进入到Linux系统的内核，让它把数据发送出去。第三个是转发接口(FORWARD)，主要用来进行数据包的转发。

　　在Linux主机上要实现包过滤，其实也就是在这三个口子上添加包过滤条件。这就好像在每个口子上设置“验票员”。当“乘客”手里的票是合法的，则“验票员”就允许其通过;若这票是不允许的，则“验票员”就会拒绝其通过这个口子。通过这种方式，我们网络管理员就可以很好的管理网络中传递的数据包，并且对于一些服务器的防问权限进行合理且有效的控制。

　　如有时候我们为了防止DDOS攻击，我们就可以设置让所有主机都拒绝ICMP协议。如此的话，任何一台主机企图ping局域网内的任何一台 Linux电脑的话，局域网内的任何主机都不会有响应。而若有黑客把局域网内的主机当作肉鸡，企图通过他们来实现DOS攻击的时候，由于我们在出站接口 (OUTPUT接口)过滤了ICMP协议，所以，这个PING命令也根本不会传递到局域网中去。如此的话，就可以从根源上保护网络的安全。

　　二、 Linux防火墙的配置方法

　　Linux防火墙基本上是通过一条iptables命令来实现具体的配置。如我们现在为了防止局域网内的机器使用ping命令。这是一种很好的防止DDOS攻击的方法。应为要实现DDOS攻击的话，则首先需要在局域网内部寻找肉鸡，让多台肉鸡同时采用PING命令PING服务器，直到服务器因为资源耗竭而当机。现在若把所有Linux主机的PING命令都禁用掉的话，则就可以最大程度的防治DDOS攻击的危害。

　　Iptables –A OUTPUT –P icmp –j DROP

　　通过这条命令，就可以实现禁用本机的PING命令。

　　命令iptables就是防火墙包过滤策略的配置命令。防火墙的过滤规则，就是通过这个简单的命令来实现的。后面的参数-A则表示添加一个过滤条件;-P表示一种协议类型;-J表示我们的目标。上面的这条命令的意思就是在Linux主机的出口上，加上一条过滤语句，当数据包的协议类型是ICMP 的话，则全部丢弃。

　　不过ICMP有一个特性。我们一般PING一台主机的话，则对于这台主机来说，首先其需要通过进站接口，把数据包传递到上层;然后，又要利用出站接口，把回应信息发送出去。如果任何一个接口不通，如只收到信息而没有回应的话，则对与主ping方来说，就显示的是目的地不可大的信息。

　　以上这个条命令我们是在出口上加了限制语句，上面我们说过，一共可以在Linux主机上的三个接口，包括进站进口、出站接口与转发接口，在内的任何一个接口上配置包过滤条件，以实现对防火墙的管理控制。在下面例子中，笔者将给大家举一个WEB服务器的例子，看看如何通过Linux主机的防火墙来管理WEB服务器，提高其安全性。

　　三、 Linux防火墙的配置实例

　　我们该如何利用Linux操作系统自带的防火墙来提高网络的管理控制功能呢?具体的来说，我们可以分三步走。一是先在Linux服务器上开一个后门，这个后门是专门给我们网络管理员管理服务器用的。二是把所有的进站、出站、转发站接口都关闭，此时，只有通过我们上面开的后门，管理员才能够远程连接到服务器上，企图任何渠道都不能连接到这台主机上。三是根据我们服务器的用途，把一些需要用到的接口开放出去。

　　下面笔者就以一个WEB服务器为例，谈谈如何设置防火墙，才能够提高这台服务器的安全性，并且，在提高安全性的同时，也不影响我们网络管理员对其的访问控制。

　　第一步：开后门

　　网络管理员一般是通过SSH方式来管理Linux操作系统。所以，我们首先需要开一个后门，允许网络管理员通过SSH方式远程登录到服务器，对这台服务器进行必要的维护与管理。

　　为了达到这个目的，我们可以利用两条语句来实现。我们这里假设我们WEB服务器的IP地址为192.168.0.2。

　　Iptables –A INPUT –P tcp –d 192.168.0.2 –dport 22 –j ACCEPT

　　Iptables –A OUTPUT –P tcp –S 192.168.0.2 –dport 22 –j ACCEPT

　　第一条语句的意思是，在进站接口上，允许网络管理员通过TCP协议与22号端口，访问主机。一般SSH方式采用的就是22号端口与TCP协议。这条语句的作用就是让网络管理员可以连接到WEB服务器上去。但是，这还不够，我们若想要远程管理WEB服务器的话，则就需要实现相互交互的功能。也就是说，我们还需要WEB服务器能够给我们回应一些消息。此时，我们就还需要配置第二条语句。

　　上面第二条语句的意识就是允许WEB服务器通过22号端口与TCP协议，发送一些数据出去。如此的话，我们网络管理员就可以受到WEB服务器的一些回应信息。

　　第二步：关闭所有接口

　　Iptables –P INPUT –j DROP

　　Iptables –P OUTPUT –j DROP

　　Iptables –P FORWARD –j DROP

　　以上三条命令的作用就是把WEB服务器上的三个接口全部关闭。但是，此时因为我们在第一步开了一个后门，所以，事后网络管理员仍然可以通过 SSH这个方式登录到服务器上去，对其进行远程访问。采用这些命令把各个接口关闭后，我们就无法通过HTTP、FTP等方式访问服务器。

　　第三步：分析服务器的用途并添加允许条件

　　把各个接口关不后，我们还需要为其添加一些必要的条件，允许某些特定类型的数据包通过。否则的话，其他人不是不能通过网络访问WEB服务器，那不是白搭了吗?

　　所以，接下去的任务，我们就是需要分析服务器的类型。我们现在配置的是一台WEB服务器，而WEB服务器一般是通过HTTP方式与80端口进行访问的。默认情况下，其用到的就是TCP协议与80端口。所以，我们只需要在进口与出口上，允许协议是TCP、端口号是80的数据包通过，就可以实现我们的目标了。

　　Iptables –A INPUT –P tcp –d 192.168.0.2 –dport 80 –j ACCEPT

　　Iptables –A OUTPUT –P tcp –S 192.168.0.2 –dport 80 –j ACCEPT

　　通过如上的配置，就可以实现我们的需求

　　四、 Linux防火墙的配置需要注意的地方

　　在使用Linux防火墙来管理企业网络的时候，笔者给大家提一些建议。

　　一是根据最小权限的安全与控制设计原则，我们在防火墙设计的时候，需要先把所有的接口先全部禁用掉。然后，再根据服务器的类型，添加一些允许数据包通过的语句。如此的目的，是为了保障服务器上只允许一些特定的协议与数据包通过。如此做的话，就可以最大限度的保障服务器与企业网络的安全。如通过上面如此配置的服务器，无法使用FTP协议访问服务器，也就杜绝了非法访问者企图利用FTP漏洞来攻击WEB服务器。同时，也禁止了ICMP协议，如此的话，就可以有效的防止DDOS攻击等等。

　　二是有时候会碰到应用程序与防火墙无法协作的问题。如在Linux服务器上部署一个ERP服务器，若同时打开了防火墙的话，则可能就无法连接上服务器。其实，这不是防火墙或者ERP服务器产生了什么冲突，而是我们没有配置好防火墙而已。一般情况下，笔者建议先把防火墙禁用掉，把ERP服务器先配置成功、其他用户可以连接上服务器后，再启用防火墙。在启用防火墙的时候，我们需要清楚，这个ERP服务器到底采用了哪些协议与端口来进行数据包的传递，然后再配置防火墙。大部分的时候，都是因为我们不熟悉某个服务器到底在采用哪些协议与端口，才造成客户端连接的错误。
转自：

http://www.wangyeba.com/Article/web05/Linux/200811/20081108083048.shtml

BIG森林 2012-10-20 15:28 发表评论