版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

当前主题已经存档。

q68

铁杆木虫 (著名写手)

应助: 3 (幼儿园)
贵宾: 1.615
金币: 13693.2
散金: 10
红花: 3
帖子: 2212
在线: 149.5小时
虫号: 325340
注册: 2007-03-17
性别: GG
专业: 金属材料的合金相、相变及

[交流] 【讨论】linux防火墙的选择？

如题！
有两个问题
1. linux有必要装防火墙吗？
2. 防火墙的选取与对比？
请使用过的说一下。

回复此楼

» 猜你喜欢

真诚求助：手里的省社科项目结项要求主持人一篇中文核心，有什么渠道能发核心吗已经有8人回复
寻求一种能扛住强氧化性腐蚀性的容器密封件已经有5人回复
论文投稿，期刊推荐已经有6人回复
请问哪里可以有青B申请的本子可以借鉴一下。已经有4人回复
孩子确诊有中度注意力缺陷已经有14人回复
请问下大家为什么这个铃木偶联几乎不反应呢已经有5人回复
请问有评职称，把科研教学业绩算分排序的高校吗已经有5人回复
2025冷门绝学什么时候出结果已经有3人回复
天津工业大学郑柳春团队欢迎化学化工、高分子化学或有机合成方向的博士生和硕士生加入已经有4人回复
康复大学泰山学者周祺惠团队招收博士研究生已经有6人回复

1楼2009-06-06 12:26:02

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

abbott

金虫 (著名写手)

不要用QQ问我东西

应助: 16 (小学生)
金币: 1071.6
散金: 2787
红花: 10
帖子: 1015
在线: 105.2小时
虫号: 452267
注册: 2007-11-05
性别: GG
专业: 计算机硬件技术

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
小木虫(金币+0.5):给个红包，谢谢回帖交流
mingdong(金币+5,VIP+0):感谢交流！ 6-7 11:15
zhaohscas1976(金币+5,VIP+0):感谢交流！ 6-9 16:02

如果做严格的管理，
可以结合/etc/hosts.allow
/etc/hosts.deny
iptables
然后关闭不需要的服务,
你的系统几乎就OK了.
iptables 默认的策略 input全部drop
然后开启自己需要的端口的数据，策略为接受就可以了.....具体的可以参考鸟哥的站点......

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables --flush INPUT
/sbin/iptables --flush FORWARD
/sbin/iptables --flush POSTROUTING --table nat
#/sbin/iptables --policy FORWARD DROP
/sbin/iptables --policy FORWARD ACCEPT
/sbin/iptables INPUT DROP

iptables -t nat -A PREROUTING -p tcp -d 59.72.122.49 --dport 3389 -j DNAT --to 192.9.206.130:3389
iptables -t nat -A PREROUTING -p tcp -d 59.72.122.49 --dport 20 -j DNAT --to 192.9.206.130:20
iptables -t nat -A PREROUTING -p tcp -d 59.72.122.49 --dport 21 -j DNAT --to 192.9.206.130:21

/sbin/iptables --table nat --append POSTROUTING --out-interface eth0 --source 192.9.206.0/24 --jump MASQUERADE

然后我设定，可以登录我机器的IP地址范围，就可以够用了

赞一下(17人)

回复此楼

Chemistry[]==[]Chem[]is[]try!!!

2楼2009-06-06 15:23:03

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

cczy

铁虫 (小有名气)

应助: 0 (幼儿园)
金币: 68.2
散金: 50
帖子: 99
在线: 29.5小时
虫号: 718407
注册: 2009-03-09
性别: GG
专业: 计算机应用技术

★ ★ ★
小木虫(金币+0.5):给个红包，谢谢回帖交流
mingdong(金币+1,VIP+0):感谢交流！ 6-7 11:15
zhaohscas1976(金币+1,VIP+0):谢谢交流 6-9 16:02

我没用放火墙，好像国内的个人用户用不用没啥作用，反正也没人攻击，我用时都把selinux给关了，省得浪费我的系统资源

赞一下(17人)

回复此楼

芭蕉不展丁香结，同向春风各自愁

3楼2009-06-06 20:14:35

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

crazyren

应助: (幼儿园)
在线:
虫号: 615486

★ ★ ★
小木虫(金币+0.5):给个红包，谢谢回帖交流
mingdong(金币+1,VIP+0):感谢交流！ 6-7 11:15
zhaohscas1976(金币+1,VIP+0):谢谢交流 6-9 16:03

个人用，应该没必要吧
开防火墙的话，网络实验麻烦

赞一下(17人)

回复此楼

4楼2009-06-06 20:33:41

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

xujc1983

木虫 (著名写手)

苦逼青椒一枚

1ST强帖: 1
应助: 71 (初中生)
金币: 2065.3
散金: 2373
红花: 18
帖子: 1096
在线: 575小时
虫号: 285496
注册: 2006-10-14
性别: GG
专业: 凝聚态物性I:结构、力学和

★ ★
zeoliters(金币+1,VIP+0):鼓励交流！ 6-7 12:06
zhaohscas1976(金币+1,VIP+0):谢谢交流 6-9 16:03

呵呵，完全内网使用
iptables和selinux全都关了

赞一下(12人)

回复此楼

5楼2009-06-07 13:51:46

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

tjyl

金虫 (正式写手)

应助: 0 (幼儿园)
金币: 3218.1
红花: 2
帖子: 576
在线: 156.6小时
虫号: 765184
注册: 2009-05-07
专业: 生物无机化学
管辖: 程序语言

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
小木虫(金币+0.5):给个红包，谢谢回帖交流
zeoliters(金币+5,VIP+0):感谢回帖交流！ 6-7 12:06
zhaohscas1976(金币+5,VIP+0):谢谢交流 6-9 16:03

我的机器自己简单配置了iptables
1-1023是需要root权限才能开启的端口，使用iptables来控制一下，高位端口1024-65535直接放开了。
把这个放在/etc/init.d下面
用/etc/inittab看现在的运行等级
debian下都是level 2.然后建立一个软连接在/etc/rc2.d下面。
链接的名字为S30wall（随便取，第一个S表示启动时start,30是启动的序号吧，自己也有点忘记了）
Debian系列的适应，Redhat系列的启动脚本放的位置不一样的。
端口需要根据自己的情况改一下。
一般情况用不着设置这些的，linux也有专门的防火墙软件的（个人感觉就是根据你的选择来修改iptables吧）。

#!/bin/bash
IPT=iptables
INTERNET="eth0"
LOOP="lo"
UNPRIVPORTS="1024:65535"
openports="20 22 21" #
allowports="80 443"
DNSPORT="53"
case $1 in
stop)
$IPT -F
$IPT -P INPUT ACCEPT
;;
start)
$IPT -F
#set the policy targets
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
#accept all input actions  throw local loopback
$IPT -A INPUT -i $LOOP -j ACCEPT
#accept dnsserver's reply
$IPT -A INPUT -i $INTERNET -p udp  --dport $DNSPORT -j ACCEPT
#allow ftp and ssh connection
$IPT -A INPUT -i $INTERNET -p tcp --sport 20:22 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp --dport 20:22 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp --dport 1020:1023 -j ACCEPT
#allow http and https
$IPT -A INPUT -i $INTERNET -p tcp --sport 80 -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp --sport 443 -j ACCEPT
#open unprivate ports
$IPT -A INPUT -i $INTERNET -p tcp  --dport $UNPRIVPORTS  -j ACCEPT
$IPT -A INPUT -i $INTERNET -p udp  --dport $UNPRIVPORTS  -j ACCEPT
#allow local pc to  ping  remote IP
$IPT -A INPUT -i $INTERNET -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -i $INTERNET -p tcp -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $INTERNET -p udp -j REJECT --reject-with icmp-port-unreachable
#这里其实就是不要别人ping自己，但是自己可以ping其他机器
;;
*)
echo "wrong input."
;;
esac

书的话推荐机械工业出版社的第三版

赞一下(13人)

回复此楼

6楼2009-06-07 17:30:14

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖