首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
用Iptables+Fedora做ADSL 路由器
来源:vfocus.net 作者:vitter 发布时间:2004-04-13  

用Iptables+Fedora做ADSL 路由器

注:所有在"[ ]" 中的都是应该直接在命令行敲入的命令
1.前言
最近在帮一个朋友做他们公司的ADSL网关路由, 原来是用FreeBSD做的,现在给他重新用Red Hat Linux 做.
2.安装准备和环境说明
1) Fedora 1.0(redhat10.0) 最小化安装, 直接选择安装类型中的Custom,然后在包安装时选择最下面的选项 "最小化安装", 此模式用于做路由网关已经完全足够
3.软件调整
1)rp-pppoe
直接执行它的配置命令即可:
[ adsl-start ]
Welcome to the Roaring Penguin ADSL client setup. First, I will run
some checks on your system to make sure the PPPoE client is installed
properly...
Looks good! Now, please enter some information:
USER NAME
>>> Enter your PPPoE user name : [enter ADSL-Login-UserName here]
INTERFACE
>>> Enter the Ethernet interface connected to the ADSL modem
For Solaris, this is likely to be something like /dev/hme0.
For Linux, it will be ethn, where n is a number.
(default eth1): [Enter your right interface here. normaly should be eth0 or eth1]
>>> Enter the demand value (default no): [缺省值就可以了, 直接回车]
DNS
>>> Enter the DNS information here: [server] # server 表示DNS 由ISP 指定
PASSWORD
>>> Please enter your PPPoE password: [] # ADSL拨号的密码
>>> Please re-enter your PPPoE password:
FIREWALLING
The firewall choices are:
0 - NONE: This script will not set any firewall rules. You are responsible
for ensuring the security of your machine. You are STRONGLY
recommended to use some kind of firewall rules.
1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation
2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway for a LAN
>>> Choose a type of firewall (0-2): [2] #还是要防火墙比较好
** Summary of what you entered **
Ethernet Interface: eth1
User name: ddtthz!Internet
Activate-on-demand: No
DNS: server
Firewalling: NONE
>>> Accept these settings and adjust configuration files (y/n)? [y] # 完成!
2) 网络环境描述
(1) /etc/sysctl.conf
net.ipv4.ip_forward = 1
(2) eth0 接ADSL 线, eth1 (192.168.1.4/24) 连接内部LAN(192.168.1.0/24)
3)iptables
对于熟悉Ipchains的管理员应该注意的事项:
iptables与ipchains的区别
  •iptables的缺省链的名称从小写换成大写,并且意义不再相同:INPUT和OUTPUT分别放置对目的地址是本机以及本机发出的数据包的过虑规则。
  •-i选项现在只代表输入网络接口,输入网络接口则使用-o选项。
  •TCP和UDP端口现在需要用--source-port或--sport(或--destination-port/--dport)选项拼写出来并且必须置于"-p tcp"或"-p udp"选项之后,因为它们分别是载入TCP和UDP扩展的。
  •以前TCP的"-y"标志现在改为"--syn",并且必须置于"-p tcp"之后。
  •原来的DENY目标最后改为了DROP。
  •可以在列表显示单个链的同时将其清空。
  •可以在清空内建链的同时将策略计数器清零。
  •列表显示链时可显示计数器的当前瞬时值。
  •REJECT和LOG现在变成了扩展目标,即意味着它们成为独立的内核模块。
  •链名可以长达31个字符。
  •MASQ现在改为MASQUERADE,并且使用不同的语法。REDIRECT保留原名称,但也改变了所使用的语法。
设计思路:
(1) 首先禁止转发任何包,然后再一步步设置允许通过的包。
[ /sbin/iptables -P FORWARD DROP ]
(2) MASQUERADE the PPP link
[ /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE ]
(3) 允许两台特定的机器可以访问外部WWW,以MAC地址为依据
[/sbin/iptables -A FORWARD -m mac --mac-source 00-11-d4-f0-39-53 -p tcp --dport 80 -j ACCEPT
]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-e1-4f-32-39-3f -p tcp --dport 80 -j ACCEPT]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-11-d4-f0-39-53 -p tcp --dport 443 -j ACCEPT
]
[/sbin/iptables -A FORWARD -m mac --mac-source 00-e1-4f-32-39-3f -p tcp --dport 443 -j ACCEPT]
(4) 允许SMTP 和POP3 以及IMAP
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -i eth1 -j ACCEPT]
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -i eth1 -j ACCEPT]
[/sbin/iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 143 -i eth1 -j ACCEPT]
(5)拒绝其它机器访问internet www
[ /sbin/iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j REJECT]

[/sbin/iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 443 -j REJECT]
(6)禁止 MSN
[/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT ]
[/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT]
(7)接收来自FTP的数据通道
[/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 192.168.1.0/24 -i ppp0 -j ACCEPT]
(8)接收来自Internet 的UDP数据包
[/sbin/iptables -A FORWARD -p udp -d 192.168.1.0/24 -i ppp0 -j ACCEPT]
(9)接收来自Internet的非连接请求tcp包
[ /sbin/iptables -A FORWARD -p tcp -d 192.168.1.0/24 ! -syn -i ppp0 -j ACCEPT]
(10) 在前面限制的基础上,接受来自整个Intranet的数据包过,定义如下规则:
[ /sbin/iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j ACCEPT ]



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
·QQ2009正式版SP4文本信息和文件
  相关文章
·用访问控制列表实现网络单向访问
·JSP安全编程实例浅析
·国内网络安全风险评估市场与技术
·分布式拒绝服务攻击(tfn2k)攻击
·用自由软件构建中小企业弱点评估
·Linux内核漏洞浅析
·SSL是如何工作的
·Linux kernel几个漏洞得简单介绍
·防范DDOS攻击 不一定要求服务器
·FTP协议的分析和扩展
·DLL后门清除完全篇
·LAMP 架构服务器性能优化建议
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved