linux透明代理防火墙策略怎么做啊

摘要： 本文介绍了LINUX下常用的防火墙规则配置软件Iptables；从实现原理、配置方法以及功能特点的角度描述了LINUX防火墙的功能关键字： LINUX防火墙 Iptables Ipchains 包过滤一 前言：Linux 为增加系统安全性提供了防火墙保护。

防火墙存在于你的计算机和网络之间，用来判定网络中的远程用户有权访问你的计算机上的哪些资源。

一个正确配置的防火墙可以极大地增加你的系统安全性。

防火墙作为网络安全措施中的一个重要组成部分，一直受到人们的普遍关注。

LINUX是这几年一款异军突起的操作系统，以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。

LINUX防火墙其实是操作系统本身所自带的一个功能模块。

通过安装特定的防火墙内核，LINUX操作系统会对接收到的数据包按一定的策略进行处理。

而用户所要做的，就是使用特定的配置软件（如iptables）去定制适合自己的“数据包处理策略”。

二 防火墙包过滤：对数据包进行过滤可以说是任何防火墙所具备的最基本的功能，而LINUX防火墙本身从某个角度也可以说是一种“包过滤防火墙”。

在LINUX防火墙中，操作系统内核对到来的每一个数据包进行检查，从它们的包头中提取出所需要的信息，如源IP地址、目的IP地址、源端口号、目的端口号等，再与已建立的防火规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略。

值得注意的是，在制定防火墙过滤规则时通常有两个基本的策略方法可供选择：一个是默认允许一切，即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包；还有一个策略就是默认禁止一切，即首先禁止所有的数据包通过，然后再根据所希望提供的服务去一项项允许需要的数据包通过。

一般说来，前者使启动和运行防火墙变得更加容易，但却更容易为自己留下安全隐患。

通过在防火墙外部接口处对进来的数据包进行过滤，可以有效地阻止绝大多数有意或无意地网络攻击，同时，对发出的数据包进行限制，可以明确地指定内部网中哪些主机可以访问互联网，哪些主机只能享用哪些服务或登陆哪些站点，从而实现对内部主机的管理。

可以说，在对一些小型内部局域网进行安全保护和网络管理时，包过滤确实是一种简单而有效的手段。

代理：LINUX防火墙的代理功能是通过安装相应的代理软件实现的。

它使那些不具备公共IP的内部主机也能访问互联网，并且很好地屏蔽了内部网，从而有效保障了内部主机的安全。

IP伪装：IP伪装（IP Masquerade）是LINUX操作系统自带的又一个重要功能。

通过在系统内核增添相应的伪装模块，内核可以自动地对经过的数据包进行“伪装”，即修改包头中的源目的IP信息，以使外部主机误认为该包是由防火墙主机发出来的。

linux的防火墙文件在哪个目录下

展开全部 vi /etc/sysconfig/iptables就乱回答，centos6常用的防火墙文件路径是/etc/sysconfig/iptables开通防火墙端口22-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT开通防火墙端口3306-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT...

在linux 下如何设置iptables 防火墙

展开全部 Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J RejectRedHat机器 cat /etc/sysconfig/iptables *filter :INPUT ACCEPT [10276:1578052] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [13784:16761487] -A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP -A INPUT -s 172.16.0.0/255.240.0.0 -j DROP -A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet # anti Sync Flood -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT # anti some port scan -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT # anti ping of death -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT COMMIT chkconfig iptables on 以后每次启动iptables就会自动读取配置文件（/etc/sysconfig/iptables） 自动启动 或者是/etc/rc.d/init.d/iptables start手工启动 /etc/rc.d/init.d/iptables stop手工停止 在LINUX下架设防火墙 linuxbird 随着Internet的普及，人们的日常工作与之的关系也越来紧密，因而越来越多的单位为员工开设了Internet的代理上网服务。

但当一个企业的内部网络接上Internet之后，企业的内部资源就象待卖的羔羊一样，面临任人宰割的危险，因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵。

而目前防止的措施主要是靠防火墙的技术完成。

一、什么是防火墙 防火墙（firewall）是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道（Internet）之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。

主要是控制对受保护的网络（即网点）的往返访问，逼使各连接点的通过能得到检查和评估。

从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙，象NETEYE、NETSCREEN、TALENTIT等。

在LINUX操作系统上的防火墙软件也很多，除了下面要专门介绍的IPCHAINS外，还有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墙从结构上讲，可分为两种： 1） 代理主机结构 内部网络代理网关（Proxy Gateway）Internet 2） 路由器加过滤器结构 内部网络过滤器（Filter）路由器（Router）Internet 二、用IPCHAINS构建局域网防火墙的原理 其实从本质上讲，用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。

一般服务器提供某特定功能的服务总是由特定的后台程序提供的。

在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。

之后，该后台程序就不断地监听（listen）该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。

与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

IPCHAINS就是这样的一个SERVER。

对内部网通往Intenet的请求，或从外部通往内部网的请求，都进行监听、检查、评估、转发、拒绝等动作。

常用的服务、协议与默认端口。

服务类型 协议 端口 WWW TCP/UDP 80 TELNET ICMP SMTP POP3 FTP DNS 三、用IPCHAINS作防火墙的步骤 1.安装 IPCHAINS现在的版本已经发展到1.3.9。

一般在安装LINUX时都会安装上，如果没有的话可以到www.linux.org下载。

下面笔者一TLC4.0为例安装IPCHAINS。

由于它需IP-MASQ的支持，所以确定已安装了IP-MASQ模块。

在TLC4.0中，把该光盘放入光驱中， #turbopkg 并选择ipchains，然后按OK就自动自动安装了。

如果你是下载ipchains安装包的话： 1）如果是rpm包： #rpm –ivh *.rpm 2）如果是.tar.gz包 #tar xvfz *.tar.gz（先把包解开） 再到解开目录 #./configure #make #make install 这样就安装成功了。

2.启用ipchains 手工修改 /proc/sys/net/ipv4/ipforward文件，将其内容置为1。

在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件 在/etc/rc.d/目录下的rc.local文件中加上下面这段代码： if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi； 以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。

3.配置ipchains（基本应用） ipchains对机器的管理是通过对机器的ip地址作为标志的，因而首先得确保你的局域网的机器的ip地址已经配分配好，并且你对之相当熟悉。

Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的，其中input是指对内连接请求的过滤规则，output是指对外连接请求的过滤规则，ipforward是指对内部与外部通讯包的转发。

Ipchains的命令格式一般是： ipchains [ADC] ipchains规则 [ipchains 选项]。

有关命令的详细用法请参考有关HOWTO文档。

现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为：192.168.1.1，假设目前防火墙是进行代理上网，拒绝所有的外部telnet。

对内部用户访问外部站点进行限制、并授予一些机器特权...

硬防的软件防火墙与硬件防火墙的区别

其实说到底，软件防火墙与硬件防火墙是没有区别的，几乎硬件防火墙有的功能他都有了。

不同点在于，软件防火墙是基于操作系统的如：2000/linux/Sun等。

而硬件防火墙呢，是基于硬件的（当然它也带有系统，但并不是像2000/Linux/Sun这类的）。

一个简单的例子。

相信大家都知道刻录机吧，它就分为内置和外置的。

系统配置可以直接影响到刻盘的的效果，比如内置刻录机在刻盘的时候，你在玩游戏（星际、雷神等）的时候，可能刻出的光盘会有很多你意想不到的问题。

而外置的刻录机，一般都是带有缓存的，就是说，你可以把他看作是一个独立的系统，他的工作是在操作系统之外的，但是必须有操作系统支配。

而软件防火墙也一样，服务器的性能也可以直接影响到他的性能，比如在装有防火墙的机器上上网、玩游戏等都是可能给防火墙带来负面的影响。

apache web服务器内网可以访问,外网访问不了？linux防火墙全部关...

看你的描述 应该是你的防火墙的问题检查一下两条规则访问外网 2.2.2.2 的80 自动转发给 192.168.1.10 的80下面的是ftp的21 默认情况 内网访问的 直接是内网的IP （不知道你网络结构）之后 外网访问 既然没绑定主机头 那就是登陆到路由器了. 不知道你路由器是通过什么IP地址来访问 也不知道端口 症状1是冲突了...症状2 换成8000 需要在apache 和 防火墙都加入8000的端口 一定注意 不要把防火墙的80给占用了 不然登陆不上来可麻烦了.

转载请注明出处51数据库 » linux 防火墙 软件