Linuxプロキシサーバーにファイアウォールを設定する

一般に、Linuxのファイアウォール機能を実装するには2つの方法があります。 1つは、最初にデータパケットのすべての入力、出力、および転送を完全に禁止し、次にユーザーの特定のニーズに応じてさまざまなサービス機能を徐々に開くことです。この方法は高いセキュリティを特徴としますが、ユーザーが必要とするさまざまなサービス機能を漏れなく十分に考慮し、システム管理者が特定のサービスと機能を実装するためにどのサービスとポートを開く必要があるかを明確に知る必要があります。 2つ目の方法は、最初にデフォルトですべての入出力データパケットを開き、次に特定の危険なパケット、IPなりすましパケット、ブロードキャストパケット、ICMPサービスタイプ攻撃などを禁止することです。http、sendmail、pop3、ftpなどのアプリケーション層サービスなど、あなたは選択的に起動またはインストールすることができます。この方法は安全ではありませんが、設定が簡単ですipchainsコマンドに関する知識があまりなくても基本的なファイアウォールシステムを設定できます。

私が管理しているプロキシサーバーはRedHat Linux 6.2とSquid-2.3がインストールされたIBMのNetfinity 3000で、外部ネットワークカードはeth0（211.98.126.180）、内部ネットワークカードはeth1（192.168.0.1）です。 ）、クライアントのIPアドレスは192.168.0.xxxです。 2番目の方法でファイアウォールを設定します。具体的な手順は次のとおりです。

システムをインストールした後、rootとしてログインし、/etc/rc.d/ディレクトリにviを使用してfirewall.rulesというスクリプトを作成します。作成が完了したら、コマンドchmod 755 firewall.rulesを実行してそれが実行可能ファイルであることを確認し、次に/etc/rc.d/rc.localファイルをviで開き、行/etc/rc.d/firewall.rulesを追加して確認します。マシンが起動するたびに、設定されたファイアウォールルールを実行できます。

firewall.rulesファイルの内容は若干省略されています。

マシンにネットワークカードが1つしかなく、モデム経由でダイヤルアップする場合、内部ネットワークに接続されているネットワークカードはeth0、IPアドレスは192.168.0.1、外部インターフェイスはppp0、firewall.rulesファイルだけを追加する必要があります。コンテンツ内のeth0はppp0に変更できます。上記のファイアウォールルールを設定した後、ftpとtelnetだけを残して/etc/inetd.confで不要なサービスをすべて無効にすることができます; set /etc/hosts.allowと/etc/hosts.deny、internalだけを許可する一部の管理ユーザーはファイアウォールにログインします。上記の方法は、作成者がいる環境で正常に実行され、Outlook Expressが電子メールを送受信する問題を解決します。