防火墙脚本设计

最新推荐文章于 2024-12-22 23:35:54 发布
最新推荐文章于 2024-12-22 23:35:54 发布
阅读量676 收藏 2
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LIGANG0704/article/details/90380948
该博客介绍了实现案例的步骤,包括编写典型的Linux网关防火墙脚本,如编写脚本文件/opt/ipfw-gw.sh并设置开机自动运行,其网络型脚本以filter表的FORWRD链为主,还提及使用IP地址黑/白名单,定义白名单可让特定地址数据包无条件放行。

 步骤

实现此案例需要按照如下步骤进行。
步骤一:编写典型的Linux网关防火墙脚本

1)编写脚本文件/opt/ipfw-gw.sh

[root@gw1 ~]# vim /opt/ipfw-gw.sh
#!/bin/bash
## 2015.05.20 TsengYia.
#### 1. 定义方便移植的环境变量 ####
INET_IF="eth1"
INET_IP="174.16.16.1"
LAN_NET="192.168.4.0/24"
LAN_WWW_IP="192.168.4.5"
IPT="/sbin/iptables"
#### 2. 内核参数、相关模块调整 ####
/sbin/modprobe nf_nat_ftp
/sbin/sysctl -w net.ipv4.ip_forward=1
/sbin/sysctl -w net.ipv4.ip_default_ttl=128
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=1
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts
/sbin/sysctl -w net.ipv4.tcp_syncookies=1
/sbin/sysctl -w net.ipv4.tcp_syn_retries=3
/sbin/sysctl -w net.ipv4.tcp_synack_retries=3
/sbin/sysctl -w net.ipv4.tcp_fin_timeout=60
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=3200
#### 3. 清空旧规则,并设置各链的默认规则 ####
#/etc/init.d/iptables stop
$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#### 4. 自定义规则 .. ####
#### 4.1 nat表的详细策略
$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP
$IPT -t nat -A PREROUTING -i $INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --t
o-destination $LAN_WWW_IP
#### 4.2 filter表的详细策略
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p udp --dport 53 -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p tcp -m multiport --dport 20:22,25,80
,110,143,443,993,995 -j ACCEPT
$IPT -A FORWARD -d $LAN_NET -i $INET_IF -m state --state ESTABLISHED,RELATED -j
 ACCEPT
$IPT -A FORWARD -d $LAN_WWW_IP -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $LAN_WWW_IP -p tcp --sport 80 -j ACCEPT

[root@gw1 ~]# chmod  +x /opt/ipfw-gw.sh

2)根据需要将ipfw-gw.sh脚本设置为开机自动运行

[root@gw1 ~]# vim /etc/rc.local 
#!/bin/sh
.. ..
touch /var/lock/subsys/local
/opt/ipfw-gw.sh
步骤二:编写网络型、主机型防护规则
1)主机型脚本
控制的数据包侧重于本机与其他主机之间的访问,因此iptables防火墙规则以 filter 表的 INPUT 链为主,OUTPUT 链其次。
比如为网站服务器svr5编写防火墙脚本:
[root@svr5 ~]# vim /opt/ipfw-host.sh
#!/bin/bash
## 2015.05.20 TsengYia.
#### 1. 定义方便移植的环境变量 ####
INET_IF="eth0"
INET_IP="192.168.4.5"
IPT="/sbin/iptables"
#### 2. 内核参数、相关模块调整 ####
/sbin/sysctl -w net.ipv4.ip_forward=0
/sbin/sysctl -w net.ipv4.ip_default_ttl=128
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=1
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts
/sbin/sysctl -w net.ipv4.tcp_syncookies=1
/sbin/sysctl -w net.ipv4.tcp_syn_retries=3
/sbin/sysctl -w net.ipv4.tcp_synack_retries=3
/sbin/sysctl -w net.ipv4.tcp_fin_timeout=60
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=3200
#### 3. 清空旧规则,并设置各链的默认规则 ####
#/etc/init.d/iptables stop
$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#### 4. 自定义规则 .. ####
$IPT -A INPUT -p tcp -m multiport --dport 22,25,80,110,143,443,993,995,2150:2750 -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

[root@svr5 ~]# chmod +x /opt/ipfw-host.sh 				//添加执行权限
[root@svr5 ~]# vim /etc/rc.local  						//设置开机自运行
#!/bin/sh
.. ..
touch /var/lock/subsys/local
/opt/ipfw-host.sh

2)网络型脚本
控制的数据包侧重于内网、外网之间的访问,因此iptables防火墙规则以 filter 表的 FORWRD 链为主,需要地址转换时还会用到nat表。
比如步骤一中的网关防火墙脚本ipfw-gw.sh

[root@gw1 ~]# cat /opt/ipfw-gw.sh
.. ..
$IPT  -t nat  -A  POSTROUTING  -s  $LAN_NET  -o  $INET_IF  -j  SNAT  --to-source  $INET_IP
$IPT  -t nat  -A  PREROUTING  -i  $INET_IF  -d  $INET_IP  -p tcp  --dport  80  -j DNAT  --to-destination  $LAN_WWW_IP
.. ..
$IPT  -A  FORWARD  -d  $LAN_NET  -i  $INET_IF  -m state  --state  ESTABLISHED,RELATED   -j  ACCEPT
.. ..

步骤三:使用IP地址黑/白名单
1)编写IP地址黑名单、白名单
定义白名单,来自这些地址(比如远程管理机)的数据包将会无条件放行:

[root@gw1 ~]# vim /opt/ipfw.wlist
## the SSH-Station for administrators
192.168.4.110
220.121.72.85
定义黑名单,来自这些地址的数据包将会无条件丢弃:
[root@gw1 ~]# cat  /opt/ipfw.blist
61.45.135.29
121.113.79.81
2)修改ipfw-gw.sh网关防火墙脚本,启用黑、白名单
[root@gw1 ~]# vim /opt/ipfw-gw.sh
.. ..

#### 5. White & Black List .. ####
WHITE_LIST="/opt/ipfw.wlist"
for  i  in  $(grep -v "^#" $WHITE_LIST)  			//遍历设置白名单规则
do
    $IPT  -I  INPUT  -s $i  -j ACCEPT
    $IPT  -I  OUTPUT  -d $i  -j ACCEPT
    $IPT  -I  FORWARD  -s $i  -j ACCEPT
    $IPT  -I  FORWARD  -d $i  -j ACCEPT
done
BLACK_LIST="/opt/ipfw.blist"  
for  i  in  $(grep -v "^#" $BLACK_LIST)  			//遍历设置黑名单规则
do
    $IPT  -I  INPUT  -s $i  -j DROP
    $IPT  -I  OUTPUT  -d $i  -j DROP
    $IPT  -I  FORWARD  -s $i  -j DROP
    $IPT  -I  FORWARD  -d $i  -j DROP
done
3)执行ipfw-gw.sh脚本,确认防火墙规则
[root@gw1 ~]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
DROP       all  --  218.29.30.131        0.0.0.0/0           
DROP       all  --  121.113.79.81        0.0.0.0/0           
DROP       all  --  61.45.135.29         0.0.0.0/0           
ACCEPT     all  --  220.121.72.85        0.0.0.0/0           
ACCEPT     all  --  192.168.4.110        0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            218.29.30.131       
DROP       all  --  218.29.30.131        0.0.0.0/0           
DROP       all  --  0.0.0.0/0            121.113.79.81       
DROP       all  --  121.113.79.81        0.0.0.0/0           
DROP       all  --  0.0.0.0/0            61.45.135.29        
DROP       all  --  61.45.135.29         0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            220.121.72.85       
ACCEPT     all  --  220.121.72.85        0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            192.168.4.110       
ACCEPT     all  --  192.168.4.110        0.0.0.0/0           
ACCEPT     udp  --  192.168.4.0/24       0.0.0.0/0           udp dpt:53 
ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0           multiport dports 20:22,25,80,110,143,443,993,995 
ACCEPT     all  --  0.0.0.0/0            192.168.4.0/24      state RELATED,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            192.168.4.5         tcp dpt:80 
ACCEPT     tcp  --  192.168.4.5          0.0.0.0/0           tcp spt:80 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            218.29.30.131       
DROP       all  --  0.0.0.0/0            121.113.79.81       
DROP       all  --  0.0.0.0/0            61.45.135.29        
ACCEPT     all  --  0.0.0.0/0            220.121.72.85       
ACCEPT     all  --  0.0.0.0/0            192.168.4.110
防火墙设计
12-27
// fire.cpp : Defines the class behaviors for the application. // #include "StarWarsCtrl.h" // Added by ClassView #include "stdafx.h" #include "fire.h" #include "MainFrm.h" #include "fireDoc.h" #include "fireView.h" #include <afxsock.h> #ifdef _DEBUG #define new DEBUG_NEW #undef THIS_FILE static char THIS_FILE[] = __FILE__; #endif ///////////////////////////////////////////////////////////////////////////// // CFireApp BEGIN_MESSAGE_MAP(CFireApp, CWinApp) //{{AFX_MSG_MAP(CFireApp) ON_COMMAND(ID_APP_ABOUT, OnAppAbout) // NOTE - the ClassWizard will add and remove mapping macros here. // DO NOT EDIT what you see in these blocks of generated code! //}}AFX_MSG_MAP // Standard file based document commands ON_COMMAND(ID_FILE_NEW, CWinApp::OnFileNew) ON_COMMAND(ID_FILE_OPEN, CWinApp::OnFileOpen) END_MESSAGE_MAP() ///////////////////////////////////////////////////////////////////////////// // CFireApp construction CFireApp::CFireApp() { // TODO: add construction code here, // Place all significant initialization in InitInstance } ///////////////////////////////////////////////////////////////////////////// // The one and only CFireApp object CFireApp theApp; ///////////////////////////////////////////////////////////////////////////// // CFireApp initialization BOOL CFireApp::InitInstance() { // CG: The following block was added by the Windows Sockets component. { if (!AfxSocketInit()) { AfxMessageBox(CG_IDS_SOCKETS_INIT_FAILED); return FALSE; } } AfxEnableControlContainer(); // Standard initialization // If you are not using these features and wish to reduce the size // of your final executable, you should remove from the following // the specific initialization routines you do not need. #ifdef _AFXDLL Enable3dControls(); // Call this when using MFC in a shared DLL #else Enable3dControlsStatic(); // Call this when linking to MFC statically #endif // Change the registry key under which our settings are stored. // TODO: You should modify this string to be something appropriate // such as the name of your company or organization. SetRegistryKey(_T("Local AppWizard-Generated Applications")); LoadStdProfileSettings(); // Load standard INI file options (including MRU) // Register the application's document templates. Document templates // serve as the connection between documents, frame windows and views. CSingleDocTemplate* pDocTemplate; pDocTemplate = new CSingleDocTemplate( IDR_MAINFRAME, RUNTIME_CLASS(CFireDoc), RUNTIME_CLASS(CMainFrame), // main SDI frame window RUNTIME_CLASS(CFireView)); AddDocTemplate(pDocTemplate); // Parse command line for standard shell commands, DDE, file open CCommandLineInfo cmdInfo; ParseCommandLine(cmdInfo); // Dispatch commands specified on the command line if (!ProcessShellCommand(cmdInfo)) return FALSE; // The one and only window has been initialized, so show and update it. HICON hIcon = ::LoadIcon (AfxGetResourceHandle (), MAKEINTRESOURCE(IDI_MAINFRAME)); m_pMainWnd->SetIcon(hIcon,FALSE); m_pMainWnd->SetWindowText("NetDefender"); m_pMainWnd->ShowWindow(SW_SHOW); m_pMainWnd->UpdateWindow(); return TRUE; } ///////////////////////////////////////////////////////////////////////////// // CAboutDlg dialog used for App About class CAboutDlg : public CDialog { public: CAboutDlg(); // Dialog Data //{{AFX_DATA(CAboutDlg) enum { IDD = IDD_ABOUTBOX }; CStarWarsCtrl m_StarWarsCtrl; //}}AFX_DATA // ClassWizard generated virtual function overrides //{{AFX_VIRTUAL(CAboutDlg) protected: virtual void DoDataExchange(CDataExchange* pDX); // DDX/DDV support //}}AFX_VIRTUAL // Implementation protected: //{{AFX_MSG(CAboutDlg) // No message handlers //}}AFX_MSG DECLARE_MESSAGE_MAP() }; CAboutDlg::CAboutDlg() : CDialog(CAboutDlg::IDD) { //{{AFX_DATA_INIT(CAboutDlg) //}}AFX_DATA_INIT } void CAboutDlg::DoDataExchange(CDataExchange* pDX) { CDialog::DoDataExchange(pDX); //{{AFX_DATA_MAP(CAboutDlg) // DDX_Control(pDX, IDC_STARWARS, m_StarWarsCtrl); //}}AFX_DATA_MAP } BEGIN_MESSAGE_MAP(CAboutDlg, CDialog) //{{AFX_MSG_MAP(CAboutDlg) // No message handlers //}}AFX_MSG_MAP END_MESSAGE_MAP() // App command to run the dialog void CFireApp::OnAppAbout() { CAboutDlg aboutDlg; aboutDlg.DoModal(); } ///////////////////////////////////////////////////////////////////////////// // CFireApp message handlers
开启防火墙脚本
铁根的博客
07-06 449
sc config MpsSvc start= AUTO net start MpsSvc
防火墙脚本
Robert's Log
03-31 690
— 作者 platinum环境:eth0(外网)eth1(内网)对外开了FTP,对内全开#! /bin/bash/sbin/modprobe ip_conntrack_ftp ports=21/sbin/modprobe ip_nat_ftp ports=21/sbin/iptables -F -t filter/sbin/iptables -F -t nat/sbin/iptables -P I
简单的Linux防火墙配置脚本例子
Tiny speck
12-26 896
用Python语言设计一款协助防火墙拦截病毒的脚本
weixin_43603708的博客
08-14 987
编写一个防火墙脚本来协助拦截病毒需要涉及网络流量的监控、特征匹配和防火墙规则的自动化管理。以下是一个简单的Python脚本示例,用于分析网络流量,并自动添加防火墙规则来阻止可疑的IP地址或端口。这个示例脚本使用了`scapy`库来捕获网络流量,并根据简单的规则来判断是否存在可疑活动,然后使用`iptables`命令来添加防火墙规则。
一键配置CentOS iptables防火墙脚本:电感设计实例详解
本文档主要介绍了电感设计在CentOS系统中使用iptables防火墙进行一键配置的Shell脚本分享,同时也涉及到了磁性元件在开关电源中的应用,特别是电感的设计原理和步骤。以下是详细的知识点概述: 1. **电感设计** - ...
基于微盾品牌的VwFirewall防火墙设计源码
09-29
微盾品牌VwFirewall防火墙设计源码项目展现了该防火墙系统的技术架构和实现细节,其中包含了342个文件,这些文件采用了多种编程语言和技术,以确保防火墙能够高效安全地工作。在这个项目中,可以发现55个头文件...
linux防火墙配置shell脚本
系统运维
03-22 544
最近一直在忙着为公司安装服务器所以也学到了不少知识,下面就分享一下防火墙配置的一个sh脚本: #!/bin/bash # Stop iptables service first service iptables stop # Load FTP Kernel modules #/sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_nat_f...
防火墙设计实现
12-16
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。本文对目前计算机网络存在的安全隐患进行了分析,阐述了我国网络安全的现状及网络安全问题产生的原因,对我们网络安全现状进行了系统的分析,并探讨了针对计算机安全隐患的防范策略.
防火墙规则脚本
weixin_30466421的博客
12-25 294
#! /bin/bash ipt="/sbin/iptables" ##清空防火墙的规则 $ipt -F ##定义进来的数据全部拒绝,出去和转发的数据则允许 $ipt -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -P FORWARD ACCEPT ##定义连接后的边缘数据连接(注:此条规则不写进来,会导致数据一进来后会马上中断,对22等开放...
防火墙】一个用于管理 firewalld的防火墙快捷脚本
m0_38086620的博客
10-16 1440
通过这个脚本,你可以方便地管理和监控firewalld防火墙的各种设置。每个操作都有明确的反馈信息,帮助你了解操作的结果。
Linux之防火墙的两个脚本文件
Unitue_逆流
04-04 892
所示:两个脚本文件iptables_work.sh 井号/bin/bashiptables -A OUTPUT -p ALL -d www.baidu.com -j REJECT工作时间不允许访问百度iptables_rest.sh 井号/bin/bashiptables -D OUTPUT -p ALL -d www.baidu.com -j REJECT不工作时允许访问百度。
分享一个批量处理防火墙规则的脚本
weixin_48421613的博客
03-17 2748
最近比较忙,大概半个月前,有一名粉丝私信我说,他们的客户给了她一份长达数万条的防火墙log日志,里面记载了防火墙的规则、源ip、目的ip、防火墙行为、协议等信息,并要求她将这个log文件形成Excel表格,按照规则名字、规则下的行为、源ip、目的ip、协议给写出来,要是手动处理的话,不但容易出现披露,而确实是一件很累人的事儿。 ​说实话,那天我也挺忙的,但是出于LSP本能粉丝的事儿就是我的事儿的原则,我还是挑战了一下自己的软肋,因为我写的都是一些不算难的漏洞检测脚本,像这种纯功能性的东西我没写过。 首先看
网吧linux代理防火墙脚本
永远的勿忘我
10-17 1083
#!/bin/bash/sbin/modprobe ip_tables/sbin/modprobe ip_nat_ftp/sbin/modprobe ip_conntrack_ftp/sbin/iptables -F/sbin/iptables -F -t nat/sbin/iptables -X/sbin/iptables -ZIP="61.150.0.1"UPLINK="eth0"RO
快速添加防火墙firewalld脚本
二狗子的博客
02-23 579
这个脚本会接收一个参数,即你想要开放的端口号,然后使用firewalld命令来配置防火墙规则。请确保你的系统中已安装并启用了firewalld服务。
Linux常用脚本(七) ---简单防火墙管理
最新发布
m0_63236927的博客
12-22 277
【代码】Linux常用脚本(七) ---简单防火墙管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值