设置Iptables防火墙在Ubuntu与Firehol

在Ubuntu上安装一个Iptables Firewall Firehol

介绍

FireHOL是有状态的iptables包过滤防火墙配置器。 它是抽象的,可扩展的,容易和强大的。 它可以处理任何类型的防火墙,但最重要的是,它为您提供了配置它的方法,与您想象的一样。
- firehol.sourceforge.net

每个尝试配置iptables防火墙的人都知道,它可以是相当的PITA。 firehol是一种帮助我们根据需要配置iptables的工具。 在本手册中,我将介绍如何使用只允许SSH和ICMP(协议负责ping和traceroute)的firehol来设置iptables防火墙。 而且,仅传入连接被过滤,并且允许传出连接。 开始了:

第一步 - 安装电炉

安装防火是非常容易的,因为它在官方的储存库。 只要打开一个终端,做一个

sudo aptitude install firehol

你们都准备好了 不要关闭你的终端,因为我们将需要更多。

第二步 - 设置firehol

我们必须编辑两个文件。 首先,我们必须启用电炉 。 打开并编辑文件/ etc / default / firehol ,例如使用VIM:

sudo vim /etc/default/firehol

更改第一行

START_FIREHOL=NO

START_FIREHOL=YES

保存并退出(在VIM中,按[ESC],然后按':wq')。

那么我们必须自己定义防火墙规则:

sudo vim /etc/firehol/firehol.conf

将此部分粘贴到文件中:

version 5
# Accept all client traffic on any interface
interface any internet
        protection strong
        server "icmp ping ICMP ssh" accept
        client all accept

这将过滤与SSH或ICMP无关的所有传入连接。 如果你不想客气,可以通过添加来删除它们

policy drop

后“保护强”。

启动和固定电炉

开始firehol进入

sudo /etc/init.d/firehol start

如果您收到相当长的错误消息,请不要惊慌。 这与Ubuntu目前的bug有关。 要修复它,只需输入以下序列:

sudo sed 's/%q/%b/g' /lib/firehol/firehol > TMPFILE 
sudo cp /lib/firehol/firehol /lib/firehol/firehol.backup
sudo mv TMPFILE /lib/firehol/firehol
sudo chmod 744 /lib/firehol/firehol

现在再试一次:

sudo /etc/init.d/firehol start

现在你的电脑不会接受来自外界的连接,除非是ping请求,traceroute或ssh。

玩的开心!

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏