我是菜鸟~~我想问哈,怎么用linux实现防火墙?

漏洞扫描、网关、防火墙、补丁升级、数据备份和迁移、系统故障排除
paddy21
帖子: 1
注册时间: 2008-05-30 15:40
送出感谢: 0
接收感谢: 0

我是菜鸟~~我想问哈,怎么用linux实现防火墙?

#1

帖子 paddy21 » 2008-05-30 15:43

我完全不晓得~~那位高手帮 我举个例先~~
dbzhang800
帖子: 3182
注册时间: 2006-03-10 15:10
来自: xi'an China
送出感谢: 0
接收感谢: 2 次
联系:

#2

帖子 dbzhang800 » 2008-05-30 16:48

:!:
头像
masonliu
帖子: 452
注册时间: 2007-04-10 14:51
送出感谢: 1 次
接收感谢: 1 次

iptables

#3

帖子 masonliu » 2008-06-29 17:28

几句命令行组成一个脚本,运行它就行了。特别简单。
还有TCP-Wrappers 的aollow/deny文件
还有我也不是全面掌握
图形界面的也有很多,没有使用

抛砖引玉。。。
头像
hcym
帖子: 15634
注册时间: 2007-05-06 2:46
送出感谢: 0
接收感谢: 2 次

#4

帖子 hcym » 2008-06-29 17:33

一般桌面够用了
sudo ufw enable
sudo ufw default deny

再狠的招得看神谕
头像
eexpress
帖子: 58428
注册时间: 2005-08-14 21:55
来自: 长沙
送出感谢: 4 次
接收感谢: 256 次

#5

帖子 eexpress » 2008-06-29 17:37

裸奔不敢?那还用什么linux。
● 鸣学
头像
hcym
帖子: 15634
注册时间: 2007-05-06 2:46
送出感谢: 0
接收感谢: 2 次

#6

帖子 hcym » 2008-06-29 17:42

eexpress 写了:裸奔不敢?那还用什么linux。

没办法了,一身赘肉,不比神健硕的胴体


ps:到底有没有比ufw default deny更狠的招

:roll:
maikafei
帖子: 370
注册时间: 2006-03-22 3:42
送出感谢: 0
接收感谢: 0

#7

帖子 maikafei » 2008-08-14 22:51

hcym 写了:
eexpress 写了:裸奔不敢?那还用什么linux。

没办法了,一身赘肉,不比神健硕的胴体


ps:到底有没有比ufw default deny更狠的招

:roll:

多狠的都有, 直接拔网线就可以 :idea:
头像
str263
帖子: 56
注册时间: 2006-09-13 23:59
送出感谢: 0
接收感谢: 0

#8

帖子 str263 » 2008-08-16 21:54

目前也在裸奔!设置一下iptables 就可以实现防火墙功能,iptables原理你可以网上查!
在INPUT、OUTPUT、FORWARD链上设置 当机器带有路由功能时,要打开FORWARD的转发功能!
你要现知道服务器开启的是什么服务?HTTP、FTP、MAIL、DNS或者其他的 !
#iptables -P INPUT DROP #将iptables 的 INPUT 、OUTPUT、FORWORD链的默认规则由ACCEPT变为DROP,即关闭所有端口 #
#iptables -P OUTPUT DROP
#iptables -P FORWORD DROP
#iptables -L #看一下是否已经改变#
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT #打开80端口#
#iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
 #OUTPUT链只让带有ESTABLISHED标记的包通过,状态匹配检查(connection tracking原理网上查
 包有四种状态,NEW、ESTABLISHED、RELATED和INVALID)#
#iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # 打开DNS端口#
#iptables -A INPUT -p udp --sport 53 -j ACCEPT

如果自己即是dns服务器又是客户机,则加下面两条
#iptables -A INPUT -p udp --dport 53 -j ACCEPT #这样就可以自己为自己服务了#
#itpables -A OUTPUT -p udp --sport 53 -j ACCEPT
同理,如果本机即是某种服务的服务器又是客户机,则要开启此INPUT、OUTPUT的sport和dport!!


打开本机的回环设备,这样在127.0.0.1 上的服务就开通了。
#itables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#itpables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

以上只是简单的例子,具体可以网上查!
头像
自由建客
论坛版主
帖子: 13445
注册时间: 2008-07-30 23:21
系统: Debian stable AMD64
来自: freebuilder@yeah.net
送出感谢: 12 次
接收感谢: 112 次
联系:

#9

帖子 自由建客 » 2008-08-19 18:35

str263 写了:目前也在裸奔!设置一下iptables 就可以实现防火墙功能,iptables原理你可以网上查!
在INPUT、OUTPUT、FORWARD链上设置 当机器带有路由功能时,要打开FORWARD的转发功能!
你要现知道服务器开启的是什么服务?HTTP、FTP、MAIL、DNS或者其他的 !
#iptables -P INPUT DROP #将iptables 的 INPUT 、OUTPUT、FORWORD链的默认规则由ACCEPT变为DROP,即关闭所有端口 #
#iptables -P OUTPUT DROP
#iptables -P FORWORD DROP
#iptables -L #看一下是否已经改变#
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT #打开80端口#
#iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
 #OUTPUT链只让带有ESTABLISHED标记的包通过,状态匹配检查(connection tracking原理网上查
 包有四种状态,NEW、ESTABLISHED、RELATED和INVALID)#
#iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # 打开DNS端口#
#iptables -A INPUT -p udp --sport 53 -j ACCEPT

如果自己即是dns服务器又是客户机,则加下面两条
#iptables -A INPUT -p udp --dport 53 -j ACCEPT #这样就可以自己为自己服务了#
#itpables -A OUTPUT -p udp --sport 53 -j ACCEPT
同理,如果本机即是某种服务的服务器又是客户机,则要开启此INPUT、OUTPUT的sport和dport!!


打开本机的回环设备,这样在127.0.0.1 上的服务就开通了。
#itables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#itpables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

以上只是简单的例子,具体可以网上查!
这样的机器能实用吗?要实用必须得根据日志慢慢调试。
头像
想入非非
论坛版主
帖子: 8078
注册时间: 2008-07-14 22:42
来自: Beijing
送出感谢: 0
接收感谢: 0
联系:

#10

帖子 想入非非 » 2008-08-19 19:04

ubuntu有一个自带的防火墙UFW,不过好像没有开启,说实话基本上是没有用处的 :wink:
Ubuntu User
xuhengxiao
帖子: 67
注册时间: 2008-01-19 23:56
送出感谢: 0
接收感谢: 0

Re: 我是菜鸟~~我想问哈,怎么用linux实现防火墙?

#11

帖子 xuhengxiao » 2008-10-05 22:49

我用的是firestarter,是一个防火墙生成器,新手的选择,很不错。
starster888
帖子: 98
注册时间: 2007-03-19 19:15
送出感谢: 0
接收感谢: 0

Re: 我是菜鸟~~我想问哈,怎么用linux实现防火墙?

#12

帖子 starster888 » 2008-11-06 21:58

linux下的防火墙好像大多都是基于iptables的(不敢肯定,不过常见的几个都是),ufw,firestarter,fwbuilder,guarddog,gnome-lokkit 都是,不过firestarter,fwbuilder。。。都是英文,感觉ufw不错,但是却要使用命令,虽说很简单的、不难,但是就是不爽,
ufw一般可以用三条命令概括:
sudo ufw enable//开启
sudo ufw default deny//使用默认规则
sudo ufw disable//关闭
8.10下有个图形界面的设置程序:Gufw-ufw ,8.04没有,我的电脑安装8.10时显卡驱动不对劲,只好重新安装8.04了,但是一直对Gufw-ufw念念不忘,又忘了名字,找了几次没找到,托你的福,给你找这个回复的资料的时候搜了一下,竟然找到了,呵呵,可能是前几天8.10才出来两三天,还没有相关的文章。
试试Gufw-ufw,很不错的,简单、直观。
这是我找到的那篇文章的链接:
http://linux.chinaitlab.com/safe/768398.html
8.04的包源上没有,我现在得给我找了。
mrguo
帖子: 129
注册时间: 2007-05-28 5:27
送出感谢: 3 次
接收感谢: 0

Re:

#13

帖子 mrguo » 2008-11-29 22:43

想入非非 写了:ubuntu有一个自带的防火墙UFW,不过好像没有开启,说实话基本上是没有用处的 :wink:
为什么没有用啊?

愿闻其详。。。。
头像
Final_x
帖子: 383
注册时间: 2008-05-03 23:05
送出感谢: 0
接收感谢: 0
联系:

Re: 我是菜鸟~~我想问哈,怎么用linux实现防火墙?

#14

帖子 Final_x » 2008-12-05 19:12

firestrater早就装好了,不知道是不是开机自动启动的,
因为在台湾论坛上看到有说图形界面仅仅是用来配置,后台在开机时候就是运行的
头像
Jarson
帖子: 2371
注册时间: 2008-07-21 9:44
来自: 深圳
送出感谢: 0
接收感谢: 0
联系:

Re: 我是菜鸟~~我想问哈,怎么用linux实现防火墙?

#15

帖子 Jarson » 2008-12-05 19:35

starster888 写了:linux下的防火墙好像大多都是基于iptables的(不敢肯定,不过常见的几个都是),ufw,firestarter,fwbuilder,guarddog,gnome-lokkit 都是,不过firestarter,fwbuilder。。。都是英文,感觉ufw不错,但是却要使用命令,虽说很简单的、不难,但是就是不爽,
ufw一般可以用三条命令概括:
sudo ufw enable//开启
sudo ufw default deny//使用默认规则
sudo ufw disable//关闭
8.10下有个图形界面的设置程序:Gufw-ufw ,8.04没有,我的电脑安装8.10时显卡驱动不对劲,只好重新安装8.04了,但是一直对Gufw-ufw念念不忘,又忘了名字,找了几次没找到,托你的福,给你找这个回复的资料的时候搜了一下,竟然找到了,呵呵,可能是前几天8.10才出来两三天,还没有相关的文章。
试试Gufw-ufw,很不错的,简单、直观。
这是我找到的那篇文章的链接:
http://linux.chinaitlab.com/safe/768398.html
8.04的包源上没有,我现在得给我找了。
学习了,目前正用着firestarter
回复

回到 “服务器维护和硬件相关”