slackware-10.1 下 adsl 拨号上网的 iptables 防火墙设置

kuafoo · 发表于 2005-8-2 20:09:23

因为家里的机器是使用adls拨号上网，为了防止家伙们对我的机器作端口扫描，因此设置好防火墙显得比较重要起来。
我尝试了普通方式来设置iptables,发现一般的设置方法并不能很好的满足我的需要，主要是因为ppp的联结建立在放火墙脚本运行（通过手工编写/etc/rc.d/rc.firewall）后。觉得更好的的方法是用rp-pppoe来调用你的防火墙设置，因为rp-pppoe的配置文件（/etc/ppp/pppoe.conf）中有一个选项，具体可以参考slackware下面/etc/ppp目录下的两个放火墙设置脚本，虽然是针对ipchains写的，但可以换成iptabes改写。在ppp建立后，iptables的规则就可以生效了。

在 /etc/ppp目录下有两个脚本firewall-masq和firewall-standalone，对应于/etc/ppp/pppoe.conf中的两个选项 FIREWALL=MASQUERADE 或 FIREWALL= STANDALONE 这两个脚本都是基于ipchains的，
通过 /usr/sbn/adsl-connect 脚本调用（被adsl-start间接调用）。

下面是一个我写的一个基本的/etc/rc.d/rc.firewall示例

#!/bin/sh
# Start/stop/restart the firewall ($IPT)
IPT="/usr/sbin/iptables"
# Start firewall:
firewall_start() {
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
# SSHD
$IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
# Bittorrent
$IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT
# BitTornado
$IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
}
# Stop firewall:
firewall_stop() {
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -F
$IPT -X
}
# Restart firewall:
firewall_restart() {
firewall_stop
sleep 1
firewall_start
}
case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*)
echo "usage $0 start|stop|restart"
esac
下面是用adsl-connect调用的改写后的/etc/ppp/firewall-standalone
#!/bin/sh
# Start the firewall ($IPT)
IPT="/usr/sbin/iptables"
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
# SSHD
$IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
# Bittorrent
$IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT
# BitTornado
$IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT

复制代码

两种方法都可以对ppp0建立规则，但区别在ppp0连接前建立和连接后建立，那种更好，我也不知道:-P

北南南北 · 发表于 2005-8-5 08:53:42

兄弟能否把防火墙的脚本分享一下？

谢谢。。。

北南呈上

kuafoo · 发表于 2005-8-5 11:00:15

在 /etc/ppp目录下有两个脚本firewall-masq和firewall-standalone，对应于/etc/ppp/pppoe.conf中的两个选项 FIREWALL=MASQUERADE 或 FIREWALL= STANDALONE 这两个脚本都是基于ipchains的，
通过 /usr/sbn/adsl-connect 脚本调用（被adsl-start间接调用）。

下面是一个我写的一个基本的/etc/rc.d/rc.firewall示例

#!/bin/sh
# Start/stop/restart the firewall ($IPT)
IPT="/usr/sbin/iptables"
# Start firewall:
firewall_start() {
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
# SSHD
$IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
# Bittorrent
$IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT
# BitTornado
$IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
}
# Stop firewall:
firewall_stop() {
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -F
$IPT -X
}
# Restart firewall:
firewall_restart() {
firewall_stop
sleep 1
firewall_start
}
case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*)
echo "usage $0 start|stop|restart"
esac
下面是用adsl-connect调用的改写后的/etc/ppp/firewall-standalone
#!/bin/sh
# Start the firewall ($IPT)
IPT="/usr/sbin/iptables"
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
# SSHD
$IPT -A INPUT -p tcp --dport 22 -i ppp0 -j ACCEPT
# Bittorrent
$IPT -A INPUT -p tcp --dport 6881:6889 -i ppp0 -j ACCEPT
# BitTornado
$IPT -A INPUT -p tcp --dport 10000:60000 -i ppp0 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT

复制代码

两种方法都可以对ppp0建立规则，但区别在ppp0连接前建立和连接后建立，那种更好，我也不知道:-P

北南南北 · 发表于 2005-8-5 13:50:39

谢谢。兄弟修正的，我已经在第一帖中已经改正了。

已经投入 http://slack.linuxsir.cn 中

辛苦了。。

北南呈上

		自动登录	找回密码
密码			注册