QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 882|回复: 5

现有一防火墙的问题挺棘手,请教

[复制链接]
发表于 2004-11-7 00:56:34 | 显示全部楼层 |阅读模式
现有一防火墙的问题挺棘手,向您请教:

        现有redhat8系统iptables防火墙,装有tomcat,两块网卡(eth0外网用,eth1内网用):
        要求:
         1 只允许外网指定ip登陆SSH管理本机
         2 允许外网通过eth0及内网通过eth1访问本机8080端口
         3 本机能访问外网上的一台数据库(读取数据)               

        现前两条已实现,但第三条是实现不了,使得整个系统不能正常运行,我使用的命令如下:

/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 211.105.161.21 --dport 8080 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 132.132.23.53 --dport 8080 -i eth1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 218.161.41.48/29 -d 211.105.161.21 --dport 22 -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp  -d 218.105.161.1 --dport 1521 -o eth0 -j ACCEPT
        允许本机通过eth0访问外网218.105.161.1:1521数据库

执行完上述命令后本机由内向外的操作都不行了(ping ssh telnet ....)第5行写到规则中也不管用,ip转发

也打开了(应该用不着),有什莫方法能使,由内向外访问不受限制[img][/img]
发表于 2004-11-7 13:55:56 | 显示全部楼层
加一条:
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


PS:你那条 /sbin/iptables -A OUTPUT -p tcp -d 218.105.161.1 --dport 1521 -o eth0 -j ACCEPT 根本不会起作用的。
回复

使用道具 举报

 楼主| 发表于 2004-11-7 23:36:09 | 显示全部楼层
[quote:e07688cb00=""]加一条:
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


PS:你那条 /sbin/iptables -A OUTPUT -p tcp -d 218.105.161.1 --dport 1521 -o eth0 -j ACCEPT 根本不会起作用的。[/quote]我把这条加进去还是不行,是在家做的实验(vmware.linux对winxp),
明天到单位试一下,应该不会有差别
我对sbin/iptables -P INPUT DROP 这条的含义,不太明白了,他应该是阻断所有对入的连接,为什末把出也限制了
回复

使用道具 举报

发表于 2004-11-8 12:26:25 | 显示全部楼层
我对sbin/iptables -P INPUT DROP 这条的含义,不太明白了,他应该是阻断所有对入的连接,为什末把出也限制了
连接是双向的。你只跟别人说话,自己什么都不听,如何交流?

按你的规则,ping 肯定是不行的了,你根本不允许 icmp 包进入(返回)。
你必须一个一个明确允许哪种数据包进入,这就是 -P DROP 的代价。 有必要么?

还有,很多程序需要利用本地环回通讯,所以加 -i lo -j ACCEPT 在所有禁止策略链里面几乎是必须的。
回复

使用道具 举报

 楼主| 发表于 2004-11-8 16:21:07 | 显示全部楼层
谢谢!我先尝试采取另外一种方式配一下,但是上面的方法还会尝试,这台服务器是被孤零零的放在公网中,他与内网之间还有到防火墙,他实现的功能很简单通过一个模块管理远端数据库,但责任重大。
回复

使用道具 举报

 楼主| 发表于 2004-11-10 17:09:21 | 显示全部楼层
目前解决方案:
      限制现有服务对外网开放的端口访问权限(指定ip),关掉ip转发功能,路由不做设置

-A INPUT -s 192.168.13.48/29 -d 192.97.10.46 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -s 192.168.13.42 -d 192.97.10.46 -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -d 192.97.10.46 -i eth0 -p tcp -m tcp --dport 8080 -j DROP
-A INPUT -s 192.168.13.42/29 -d 192.97.10.46 -i eth0 -p tcp -m tcp --dport 8009 -j ACCEPT
-A INPUT -s 192.168.13.42 -d 192.97.10.46 -i eth0 -p tcp -m tcp --dport 8009 -j ACCEPT
-A INPUT -d 192.97.10.46  -i eth0 -p tcp -m tcp --dport 8009 -j DROP
-A INPUT -s 192.168.13.42 /29 -d 192.97.10.46  -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.13.42 -d 192.97.10.46  -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 192.97.10.46  -i eth0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -d 192.97.10.46  -i eth0 -p tcp -m tcp --dport 25 -j DROP
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-7 03:43 , Processed in 0.038107 second(s), 15 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表