防火墻的配置要求如下：

　　1、 拒絕所有外面?zhèn)魅氲摹⑾蛲獾暮娃D(zhuǎn)發(fā)的包。

　　2、 允許所有外傳的TCP連接：我們這里允許的如web/telnet/ssh/ftp等外傳。

　　3、 允許外發(fā)的TCP連接的返回封包通過(guò)防火墻，需檢查封包的狀態(tài)。

　　4、 允許向外發(fā)送UDP連接在端口53上指定域名服務(wù)器，但只允許偉入的DNS封包進(jìn)入內(nèi)部的域名服務(wù)器chivas。

　　5、 創(chuàng)建允許內(nèi)核從一個(gè)網(wǎng)絡(luò)接口向另一個(gè)網(wǎng)絡(luò)接口適當(dāng)轉(zhuǎn)發(fā)封包的規(guī)則：來(lái)自專(zhuān)網(wǎng)的向因特網(wǎng)傳遞的封包需從內(nèi)部接口eth0向外部接口eth1轉(zhuǎn)發(fā)。返回的封包以相反方向發(fā)送回來(lái)。

　　6、 在內(nèi)核中啟用IP轉(zhuǎn)發(fā)功能。

　　構(gòu)建一個(gè)基本的防火墻

　　[root@linux-tys root]# sysctl –p -----設(shè)置IP轉(zhuǎn)發(fā)

　　[root@linux-tys root]# cat /proc/sys/net/ipv4/ip_forward -----確認(rèn)IP轉(zhuǎn)發(fā)，可以見(jiàn)到結(jié)果為1

　　[root@lg root]# iptables –F -----清除預(yù)設(shè)表filter中所有規(guī)則鏈的規(guī)則

　　[root@lg root]# iptables –X -----清除預(yù)設(shè)表filter中自定義規(guī)則鏈的規(guī)則

　　[root@lg root]# iptables –F –t mangle -----清除表mangle中所有規(guī)則鏈的規(guī)則

　　[root@lg root]# iptables –t mangle -X -----清除表mangle中所有自定義規(guī)則鏈的規(guī)則

　　[root@lg root]# iptables –F –t nat -----清除表nat中所有規(guī)則鏈的規(guī)則

　　[root@lg root]# iptables –t nat -X -----清除表nat中所有自定義規(guī)則鏈的規(guī)則

　　[root@linux-tys root]# iptables -A INPUT -p tcp - -dport 22 -j ACCEPT

　　[root@lg root]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

　　[root@linux-tys root]# iptables -P INPUT DROP

　　[root@linux-tys root]# iptables -P OUTPUT DROP

　　[root@linux-tys root]# iptables -P FORWARD DROP

　　[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o lo ----此兩行為在回送接口上允許內(nèi)部網(wǎng)絡(luò)流量

　　[root@linux-tys root]# iptables -A INPUT -j ACCEPT -i lo

　　[root@linux-tys root]# iptables -A OUTPUT -j ACCEPT -o eth1 -p tcp -m state --state ESTABLISHED,NEW

　　-----此規(guī)則設(shè)置新建和已建的TCP連接的封包將會(huì)通過(guò)eth1向外轉(zhuǎn)發(fā)，不指明源和目標(biāo)地址代表任何地址

　　[root@linux-tys root]# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT --這條允許來(lái)自專(zhuān)網(wǎng)到達(dá)專(zhuān)網(wǎng)接口的所有流量，下面一條規(guī)則則是檢查到達(dá)外部網(wǎng)絡(luò)接口的每個(gè)封包，屬于已有連接通過(guò)

　　[root@linux-tys root]# iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

　　以下配置規(guī)則使之從一個(gè)網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到另一個(gè)：條規(guī)則接收所有來(lái)自專(zhuān)網(wǎng)的封包，并被轉(zhuǎn)發(fā)到外網(wǎng)卡eth1上；第二條規(guī)則到達(dá)外部網(wǎng)絡(luò)接口eth1上的封包，如屬于已有連接，則轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。

　　[root@linux-tys root]# iptables -A FORWARD -i eth0 -j ACCEPT-

　　[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

　　建立NAT規(guī)則，POSTROUTING表封包送出時(shí)需要翻譯，該規(guī)則設(shè)置為對(duì)流出外部網(wǎng)絡(luò)接口eth1的封包起作用，并將源地址變?yōu)閑th1的地址。

　　[root@linux-tys root]# modprobe iptable_nat ----加載NAT模塊

　　[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

　　備份和恢復(fù)

　　1、備份防火墻設(shè)置：[root@lg root]# iptables-save>iptablesrules.txt 本次設(shè)為iptablesdefault.txt

　　2、刪除防火墻設(shè)置：[root@lg root]# iptables –F 刪除所有的鏈。

　　3、恢復(fù)防火墻設(shè)置：[root@lg root]# iptables-restore iptablesrules.txt

　　使防火墻自動(dòng)化

　　[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存規(guī)則到/etc/syscofig/iptables中，并自啟動(dòng)

　　[root@linux-tys root]# /etc/init.d/iptables start/stop/restart ----保存后則可用這個(gè)命令來(lái)控制其狀態(tài)

　　使用自定義鏈整固防火墻

　　基本規(guī)則并不檢查除TCP連接狀態(tài)以外的事項(xiàng)，可通過(guò)自定義的鏈來(lái)擴(kuò)展基本防火墻以助于處理增加的復(fù)雜性，更為復(fù)雜的規(guī)則集可指定哪一個(gè)TCP端口可以使用以及連接的源地址。同時(shí)創(chuàng)建特定的規(guī)則來(lái)處理單個(gè)連接可以減少黑客利用端口的機(jī)會(huì)。

　　修改后的防火墻配置如下：

　　1、首先也是啟用轉(zhuǎn)發(fā)，清空所有規(guī)則，設(shè)默認(rèn)為DROP，在回送接口上允許所有內(nèi)部網(wǎng)絡(luò)流量。然后我們將創(chuàng)建兩條自定義鏈來(lái)處理從專(zhuān)網(wǎng)和外網(wǎng)接口到達(dá)的封包。下面是SSH的訪問(wèn)要保留。

　　2、創(chuàng)建一個(gè)PRIV鏈來(lái)處理來(lái)自專(zhuān)用網(wǎng)絡(luò)的流量。這個(gè)鏈傳遞已有返回的封包，進(jìn)入防火墻的SSH封包，以及目的地為因特網(wǎng)的FTP、SSH和HTTP封包，然后將INPUT鏈規(guī)則導(dǎo)向到這一個(gè)鏈上。

　　[root@linux-tys root]# iptables -N PRIV

　　[root@linux-tys root]# iptables -A PRIV -m state --state ESTABLISHED,RELATED -j ACCEPT

　　[root@linux-tys root]# iptables -A PRIV -p tcp –s 192.168.1.0/24 –d 192.168.1.254 --dport 22 -j ACCEPT

　　[root@linux-tys root]# iptables -A PRIV -p udp –d 0/0 --dport 53 -j ACCEPT

　　[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 21 -j ACCEPT

　　[root@linux-tys root]# iptables -A PRIV -p tcp -d 0/0 --dport 80 -j ACCEPT

　　[root@linux-tys root]# iptables -A INPUT -i eth0 -j PRIV

　　[root@linux-tys root]# iptables -A OUTPUT –o eth0 -j PRIV

　　3、創(chuàng)建一個(gè)鏈來(lái)處理來(lái)自DMZ（如果使用的話）以及外部網(wǎng)絡(luò)到達(dá)的流量。這個(gè)鏈丟棄來(lái)自專(zhuān)用網(wǎng)絡(luò)和DMZ網(wǎng)源地址的所有封包，這是因?yàn)椋罢呤瞧垓_地址，第二，根據(jù)策略，不允許來(lái)自DMZ的流量進(jìn)入到網(wǎng)絡(luò)中。該鏈接受來(lái)自已有連接和編址到因特網(wǎng)的包。

　　[root@linux-tys root]# iptables -N EXT

　　[root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP

　　[root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP

　　[root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT

　　[root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT

　　[root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --配置INPUT鏈，使之將流量導(dǎo)向到EXT

　　[root@linux-tys root]# iptables -A OUTPUT –o eth1 -j EXT

　　4、修改FORWARD鏈以創(chuàng)建網(wǎng)關(guān)功能。自內(nèi)網(wǎng)接口來(lái)的新的或已有的連接被轉(zhuǎn)發(fā)到外部接口上。

　　[root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

　　[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

　　5、建立SNAT規(guī)則。對(duì)源地址起作用轉(zhuǎn)換為192.168.32.254。此步后即可實(shí)現(xiàn)網(wǎng)關(guān)防火墻功能了。

　　[root@linux-tys root]# modprobe iptable_nat

　　[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254

　　6、配置OUTPUT鏈。使之允許來(lái)自防火墻服務(wù)的封包傳到專(zhuān)用網(wǎng)絡(luò)及因特網(wǎng)上。

　　[root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT

　　[root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

　　7、檢查防火墻規(guī)則并添加一條規(guī)則然后保存規(guī)則

　　[root@linux-tys root]# iptables -L –v ---- -v將顯示網(wǎng)絡(luò)接口的附加信息

　　[root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT

　　[root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存

　　[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存規(guī)則到/etc/syscofig/iptables中，并自啟動(dòng)。