如何為Solaris服務(wù)器配置款安全的防火墻(3)
如何為Solaris服務(wù)器配置款安全的防火墻
2、方法2
通俗來(lái)說(shuō)就是:禁止是block ,通過(guò)是pass ,進(jìn)入流量是in,出去流量是out 。然后配合起來(lái)使用就行了,再加上可以指定在哪個(gè)網(wǎng)卡上使用,也就是再加個(gè)on pcn0,另外還有一個(gè)關(guān)鍵字就是all,這是匹配(禁止或者通過(guò))所有的包?;贗P地址和防火墻接口的基本過(guò)濾方式:
block in quick on hme0 from 192.168.0.14 to any
block in quick on hme0 from 132.16.0.0/16 to any
pass in all
應(yīng)用此規(guī)則將阻止通過(guò)hme0口來(lái)自于192.168.0.14和132.16.0.0網(wǎng)段的所有包的進(jìn)入,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對(duì)出去的包不作任何限制。
3、方法3:基于IP地址和防火墻接口的完全雙向過(guò)濾方式:
block out quick on hme0 from any to 192.168.0.0/24
block out quick on hme0 from any to 172.16.0.0/16
block in quick on hme0 from 192.168.0.0/24 to any
block in quick on hme0 from 172.16.0.0/16 to any
pass in all
應(yīng)用此規(guī)則后將阻止通過(guò)hme0口來(lái)自于192.168.0.0和172.16.0.0網(wǎng)段的所有包的進(jìn)入和外出,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對(duì)出去的包不作任何限制。
4、方法4
使用“port”關(guān)鍵字對(duì)TCP和UDP的端口進(jìn)行過(guò)濾:
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080
block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23
pass in all
應(yīng)用此規(guī)則后將阻止從192.168.0.0網(wǎng)段通過(guò)8080和23端口對(duì)防火墻內(nèi)的數(shù)據(jù)通信,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對(duì)出去的包不作任何限制。
5、方法5
quick關(guān)鍵字使用提示:假如你的防火墻有100條規(guī)則,最有用的可能只有前10條,那么quick是非常有必要的。
pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet
block in log all from any to any
假如你希望禁止服務(wù)器的所有包而只希望一個(gè)IP只能夠telnet的話,那么就可以加上quick關(guān)鍵字,quick的作用是當(dāng)包符合這條規(guī)則以后,就不再向下進(jìn)行遍歷了。如果沒(méi)有quick的情況下,每一個(gè)包都要遍歷整個(gè)規(guī)則表,這樣的開(kāi)銷是十分大的,但是如果濫用quick也是不明智的,因?yàn)樗吘共粫?huì)產(chǎn)生日志。
6、管理 Solaris IP 過(guò)濾器的 NAT 規(guī)則
查看活動(dòng)的 NAT 規(guī)則。
# ipnat -l
刪除當(dāng)前的 NAT 規(guī)則。
# ipnat -C
將規(guī)則附加到 NAT 規(guī)則
在命令行上使用 ipnat -f - 命令,將規(guī)則附加到 NAT 規(guī)則集。
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
五、關(guān)閉 Solaris IP 過(guò)濾防火墻的方法
有些情況可能希望取消激活或禁用包過(guò)濾,例如要進(jìn)行測(cè)試另外在認(rèn)為系統(tǒng)問(wèn)題是由 Solaris IP 過(guò)濾器所導(dǎo)致時(shí),對(duì)這些問(wèn)題進(jìn)行疑難解答。首先成為管理員權(quán)限,
禁用包過(guò)濾,并允許所有包傳入網(wǎng)絡(luò)的命令:
# ipf –D
取消激活 Solaris IP 過(guò)濾器規(guī)則方法:
從內(nèi)核中刪除活動(dòng)規(guī)則集。
# ipf -Fa
此命令取消激活所有的包過(guò)濾規(guī)則。
刪除傳入包的過(guò)濾規(guī)則。
# ipf -Fi
此命令取消激活傳入包的包過(guò)濾規(guī)則。
刪除傳出包的過(guò)濾規(guī)則。
# ipf -Fo
此命令取消激活傳出包的包過(guò)濾規(guī)則。