📄 linux 2.4有状态防火墙设计(四).htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0050)http://www.linuxbyte.net/view.php?skin=art&ID=2587 -->
<HTML><HEAD><TITLE>linuxbyte</TITLE>
<META http-equiv=Content-Language content=zh-cn>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>A:link {
COLOR: #000000; TEXT-DECORATION: none
}
A:visited {
COLOR: #000000; TEXT-DECORATION: none
}
A:hover {
TEXT-DECORATION: underline
}
BODY {
FONT-SIZE: 12px; SCROLLBAR-ARROW-COLOR: #395d81; BACKGROUND-COLOR: #ffffff
}
TABLE {
BORDER-RIGHT: #889093 1px solid; BORDER-TOP: #889093 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #889093 1px solid; COLOR: #000000; BORDER-BOTTOM: #889093 1px solid
}
TEXTAREA {
BORDER-RIGHT: #666666 1px solid; BORDER-TOP: #666666 1px solid; FONT-WEIGHT: normal; FONT-SIZE: 12px; BORDER-LEFT: #666666 1px solid; COLOR: #000000; BORDER-BOTTOM: #666666 1px solid; FONT-FAMILY: Verdana, Tahoma, Arial; BACKGROUND-COLOR: #f8f8f8
}
INPUT {
BORDER-RIGHT: #666666 1px solid; BORDER-TOP: #666666 1px solid; FONT-WEIGHT: normal; FONT-SIZE: 12px; BORDER-LEFT: #666666 1px solid; COLOR: #000000; BORDER-BOTTOM: #666666 1px solid; FONT-FAMILY: Verdana, Tahoma, Arial; BACKGROUND-COLOR: #f8f8f8
}
SELECT {
FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
.nav {
FONT-WEIGHT: bold; FONT-SIZE: 12px; FONT-FAMILY: Tahoma, Verdana
}
.header {
FONT-WEIGHT: bold; FONT-SIZE: 11px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #698cc3
}
.category {
FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #efefef
}
.multi {
FONT-SIZE: 11px; COLOR: #003366; FONT-FAMILY: Tahoma, Verdana
}
.smalltxt {
FONT-SIZE: 11px; FONT-FAMILY: Tahoma, Verdana
}
.mediumtxt {
FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.bold {
FONT-WEIGHT: bold
}
</STYLE>
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 background="Linux 2.4有状态防火墙设计(四).files/bg.gif" topMargin=0
rightMargin=0>
<TABLE
style="BORDER-RIGHT: #656b6d 1px solid; TABLE-LAYOUT: fixed; BORDER-TOP: #656b6d 1px solid; BORDER-LEFT: #656b6d 1px solid; BORDER-BOTTOM: #656b6d 1px solid; WORD-WRAP: break-word"
cellSpacing=0 cellPadding=0 width="98%" align=center bgColor=#ffffff border=0>
<TBODY>
<TR height=0>
<TD width="25%"></TD>
<TD width="65%"></TD>
<TD width="10%"></TD></TR>
<TR height=26>
<TD vAlign=center align=right width="100%"
background="Linux 2.4有状态防火墙设计(四).files/topbg.jpg" colSpan=3>
<FORM action=search.php method=post><SELECT name=radiobutton> <OPTION
value=news selected>-- 新闻搜索 --</OPTION> <OPTION value=articles>-- 文章搜索
--</OPTION> <OPTION value=software>-- 软件搜索 --</OPTION></SELECT><INPUT
size=15 name=Search> <INPUT type=image
src="Linux 2.4有状态防火墙设计(四).files/go.gif" border=0>
</FORM></TD></TR>
<TR>
<TD align=left width="20%"><IMG src="Linux 2.4有状态防火墙设计(四).files/logo.jpg"
border=0></TD>
<TD align=middle width="60%"><IMG
src="Linux 2.4有状态防火墙设计(四).files/logo2.jpg" border=1></TD>
<TD align=middle width="20%">::<A
href="http://www.linuxbyte.net/news.php">网站新闻</A>::<BR>::<A
href="http://www.linuxbyte.net/articles.php">技术文献</A>::<BR>::<A
href="http://www.linuxbyte.net/softs.php">软件中心</A>::<BR>::<A
href="http://www.linuxbyte.net/bbs/index.php" target=_blank>讨论区</A>::
</TD></TR>
<TR>
<TD background="Linux 2.4有状态防火墙设计(四).files/tabledi.jpg" colSpan=3
height=6></TD></TR>
<TR>
<TD background="Linux 2.4有状态防火墙设计(四).files/titlebg.jpg" colSpan=3
height=22><CENTER> <B><A
href="http://www.linuxbyte.net/index.php">首页</A></B> || <B><A
href="http://www.linuxbyte.net/bbs/index.php" target=new>讨论区</A></B> ||
<B><A href="http://www.linuxbyte.net/news.php">新闻中心</A></B> || <B><A
href="http://www.linuxbyte.net/articles.php">技术文献</A></B> || <B><A
href="http://www.linuxbyte.net/softs.php">软件中心</A></B> || <B><A
href="http://www.linuxbyte.net/about.php">关于本站</A></B> || <B><A
href="mailto:oneteam@mail.linuxbyte.net">联系本站</A></B>||</CENTER></TD></TR></TBODY></TABLE>
<TABLE
style="TABLE-LAYOUT: fixed; BORDER-COLLAPSE: collapse; WORD-WRAP: break-word"
cellSpacing=0 cellPadding=0 width="98%" align=center bgColor=#ffffff border=1>
<TBODY>
<TR><!--第二列-->
<TD vAlign=top align=left width="75%"><BR> <A
href="http://www.linuxbyte.net/index.php">首页</A><< <A
href="http://www.linuxbyte.net/articles.php">技术文献</A><< <B>Linux
2.4有状态防火墙设计(四)</B><BR><BR>
<UL> <BR>第七章 构建更安全的服务器防火墙 <BR><BR>服务器改进
<BR><BR><BR>通常可以使防火墙变得“更好”一点。当然,是不是“更好”要根据各人的特殊需要而定。现有脚本可能会完全符合您的要求,但也可能需要进行附加调整。本章节旨在充当各种想法的食谱,演示增强现有有状态防火墙的各种方法。
<BR><BR>记录技术 <BR><BR><BR>目前,我们还没有讨论如何记录。有一种特殊目标 LOG 可以用于记录事物。在使用 LOG
时,有一个特殊选项 "--log-prefix" 可以让您指定在包转储到系统日志时出现的一些文本。以下是一个日志规则示例:
<BR><BR><BR>iptables -A INPUT -j LOG --log-prefix "bad input:"
<BR><BR>不应将它作为第一个规则添加到 INPUT 链中,因为这将会为您接收的每个包都记录一个记录项。事实上,应该将日志规则放到
INPUT 链的底层,以便记录陌生的包和其它异常。 <BR><BR><BR>以下是关于 LOG
目标的重要注意事项。通常,当一条规则匹配时,会接受、拒绝或删除某个包,不会再处理其它规则。但是,当日志规则匹配时,则会记录这个包。但是却不会接受、拒绝或删除它。事实上,包会继续移动到下一个规则,如果日志规则是链中的最后一个规则,那么将应用缺省链策略。
<BR><BR>LOG 目标还可以与 "limit" 模块组合(在 iptables 帮助页面中描述),以使重复记录项最小化。以下是一个示例:
<BR><BR><BR>iptables -A INPUT -m state --state INVALID -m limit --limit
5/minute -j LOG --log-prefix "INVALID STATE:" <BR><BR><BR>创建自己的链
<BR><BR><BR>iptables
可以让您创建自己的用户定义链,可以将这个链指定成规则中的目标。如果想要了解如何完成此项任务,请花一些时间阅读 Rusty 的著作 <A
class=red
href="http://netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.html"
target=_blank><A
href="http://netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.html"
target=_blank>http://netfilter.samba.org/unreliable-guides/packet-filtering-HOWTO/index.html</A></A>。
<BR><BR><BR>实施网络使用策略 <BR><BR>对于那些想要对公司或高校 LAN
实施网络使用策略的人来说,火墙提供了许多强大的功能。通过将添加添加到 FORWARD 链或设置 FORWARD
的策略,可以控制您的机器将转发什么包。通过将规则添加到 OUTPUT 链,还可以对由 Linux
机器自身的用户在本地生成的包采取什么操作。iptables 还有难以置信的能力,它可以根据所有者(uid 或
gid)来过滤本地创建的包。如需有关此项功能的详细信息,请在 iptables 帮助页面中搜索 "owner"。 <BR><BR>其它安全性角落
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -