防火墙搭建及NET机制_防火墙 net

（五）防火墙规则书写注意点小结（掌握）

• 书写规则时的几个注意点

 
 
 

  
  
  （
  
  
  1）匹配规则越严格的需要放在越上面，越松散的放在越下面

 
 
 
 
 
 

  
  
  （
  
  
  2）规则的检查次序：规则在链上的次序即为检查时生效的次序，因此，其优化使用有一定的法则 

 
 
 
 
 
 
    
  
  
  1：同类规则（访问同一个应用），匹配范围小的放在前面，用于特殊处理

 
 
 
 
 
 
    
  
  
  2：不同类的规则（访问不同的应用），匹配范围大的放在前面，也就是规则被报文匹配次数多的放在前面

 
 
 
 
 
 
    
  
  
  3：应该将那些由一条规则描述的多个规则合并为一个规则，这样使得规则查询的效率提高

 
 
 

• 防火墙规则优化实战示例

 
 
 

  
  
  1：开放ssh、web、telnet服务

 
 
 
 
 
 


 
 
 
 
 
 

  
  
  # 由于 ESTABLISHED会经常被访问，因此写在第一个

 
 
 
 
 
 

  
  
      iptables -A INPUT -m 
  
  
  state --
  
  
  state ESTABLISHED -j ACCEPT 

 
 
 
 
 
 


 
 
 
 
 
 

  
  
  # 特定的服务开放

 
 
 
 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -p tcp -m multiport --dports 
  
  
  22,
  
  
  80,
  
  
  23 -m 
  
  
  state --
  
  
  state NEW -j ACCEPT 

 
 
 
 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -p icmp --icmp-type 
  
  
  8 -m 
  
  
  state --
  
  
  state NEW -j ACCEPT 

 
 
 
 
 
 


 
 
 
 
 
 

  
  
  # 所有的入栈报文，出栈全部被允许

 
 
 
 
 
 

  
  
      iptables -A OUTPUT -m 
  
  
  state --
  
  
  state ESTABLISHED -j ACCEPT

 
 
 
 
 
 


 
 
 
 
 
 


 
 
 
 
 
 


 
 
 
 
 
 


 
 
 
 
 
 


 
 
 
 
 
 

  
  
  2：开放ftp、ssh、web、telnet服务

 
 
 
 
 
 

  
  
  思考：对于ftp服务来说，有两个端口，
  
  
  20、
  
  
  21，如果想使用RELATED关联追踪，应该让内核加载nf_conntrack_ftp模块

 
 
 
 
 
 


 
 
 
 
 
 

  
  
  # 内核加载nf_conntrack_ftp模块

 
 
 
 
 
 

  
  
      modprobe nf_conntrack_ftp

 
 
 
 
 
 


 
 
 
 
 
 

  
  
  # 放行了ftp协议的数据连接的端口，由于端口是随机的，所以不要给定端口号，并且指明连接追踪是related和established

 
 
 
 
 
 

  
  
      iptables -A INPUT -d 
  
  
  192.168
  
  
  .10
  
  
  .222 -m 
  
  
  state --
  
  
  state REL