CentOS 5.5 防火墙开启、关闭以及开放指定端口

之前有讲过公司新买的服务器使用的是CentOS 5.5,部署好Tomcat之后却发现输入114.80.*.*:8080(即ip:8080)却无法显示Tomcat默认的首页。因为以前部署在Win Server的VPS,Linux开发时也只用到localhost,所以就有点头大。

好吧,G一下网上有说是防火墙的问题,敲入

/etc/init.d/iptables stop

关闭之后再次查看114.80.*.*:8080(即ip:8080)发现果然成功。但是貌似安全隐患大大增加……使用

/etc/init.d/iptables status

查看防火墙信息,可以看到打开的端口。那么我们把需要使用的端口打开应该是一个比较可行的办法了,命令如下:

/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT #8080为指定端口

/etc/init.d/iptables restart #重启防火墙以便改动生效,当然如果不觉得麻烦也可重启系统(命令:reboot)

/etc/rc.d/init.d/iptables save #将更改进行保存

当然了,还有另外直接在/etc/sysconfig/iptables中增加一行:

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT

永久关闭防火墙

chkconfig –level 35 iptables off #此方法源自网络,未实验,安全考虑拒绝使用此方法

基于IP Filter的NAT透析

摘 要:本文依托cnfug开发的Floppy Firewall为平台,以嗅探器抓包分析结合相应的路由转发规分析IPFilter对数据报进行转发和NAT的机理,最终针对实际案例的需求提出解决方案。
关键词:NAT FreeBSD 嗅探器 TCP/IP
一、前言
如今很多企事业单位拥有自己的LAN,介入互联网的方案比较流行的方案是选用如图1-1的拓扑结构来构建网络。防火墙服务器充当过滤和转发数据报的中间代理,专用服务器安置在防火墙后面避免受到攻击。这类防火墙有硬件和软件之分,对于一个普通小型局域网来说,软件防火墙已经可以满足需求,而软件防火墙领域几乎是IPfw和IP Filter的天下,它们的功能非常强大,安装也非常容易,考验防火墙管理员的主要是如何配置防火墙的rules,现在在网上可以很容易地找到如何配置 rules的文献,但是很少有介绍其工作机理的资料,本文将以一个基于IP Filter防火墙的实际案例来分析这些rules的工作机理,并将其运用到实际案例中解决特殊的需求问题。

图1-1 常用的拓扑结构 Continue reading

IP Filter Based Firewalls HOWTO

Brendan ConoboyErik Fichtner
$FreeBSD: src/share/examples/ipfilter/ipf-howto.txt,v 1.1.2.1 2002/04/27 20:04:18 darrenr Exp $

摘要:本文档向初学者介绍IP Filter防火墙软件,同时介绍一些设计防火墙的基本方法。

1.1声明

作者对因该文档所造成的破坏概不负责,该文档只是介绍基于ipfilter的防火墙。如果你觉得你采取的行动不太合适的话,你应该停止阅读该文档,请有资格的安全专家为你安装防火墙。

1.2 版权

除非其它情况,该文档版权属于每一个作者。部分或全部文档可以以各种介质复制和重新发布,只要你在所有的拷贝中保存版权声明。任何商业性质的发布应该通知文档的作者。
所有的翻译文档及其它衍生文档应该保留版权声明。

1.3 哪里可以获得重要文档

ipf官方网站:http://coombs.anu.edu.au/~avalon/ip-filter.html
文档的最新版本可以在这找到:http://www.obfuscation.org/ipf/ Continue reading

使用FreeBSD构建流量控制防火墙

概述

利用FreeBSD内核支持的BRIDGE、IPFIREWALL以及DUMMYNET选项,可以建立基于FreeBSD的透明流量控制防火墙(桥接模式),起到限制流量和包过滤的功能。

准备

可以在任何FreeBSD的兼容硬件上构建流量控制防火墙,但是基于性能和管理上的考虑,建议:

使用Intel PII450以上的处理器

使用至少128MB RAM

使用高性能10/100Mbps自适应网络适配器

如果多于一组桥接设备,建议使用双处理器系统

另外准备一块单独的网络适配器用于管理 Continue reading

用IPFW实现BSD防火墙(转载)

FreeBSD操作系统本身带有二种内置的IP信息包检查机制:ipfw和ipfilter。在创建决定允许哪些信息包进入系统、哪些信息包会被拒之系统门外的规则集方面,二种机制各有自己独特的语法。在这里,我们将讨论如何使用ipfw配置系统的防火墙。

在能够使用ipfw防火墙机制之前,我们需要在FreeBSD的内核配置文件中添加一些选项,并重新编译内核。如果不太清楚如何编译FreeBSD的内核,请参阅相关的手册http://www.51docs.net/FreeBSD-Manual/kernelconfig-building.html

可供ipfw使用的选项有好几个,我们首先从讨论LINT开始。在这里,我通过使用“/”符号进行搜索,以便能够快速地发现恰当的小节:

cd /usr/src/sys/i386/conf
more LINT
/IPFIREWALL

# IPFIREWALL和ipfw软件,这二者就可以支持IP防火墙的构建。

IPFIREWALL_VERBOSE向系统的注册程序发送注册信息包,IPFIREWALL_VERBOSE_LIMIT限制一台机器注册的次数。注意:如果没有在启动时添加任何允许IP访问的规则,IPFIREWALL的缺省配置是禁止任何IP数据包进出系统的,这时你甚至不能访问网络中的其他机器。建议首次使用这一功能时在/etc/rc.conf中设置firewall_type=open,然后在对内核进行测试后再在/etc/rc.firewall仔细地调整防火墙的设置。IPFIREWALL_DEFAULT_TO_ACCEPT使得缺省的规则允许所有形式的访问。在使用这一变量时应该非常小心,如果黑客能够突破防火墙,就能任意访问你的系统。 Continue reading

FreeBSD中防火墙

来源:http://www.allwiki.com/wiki/FreeBSD%E4%B8%AD%E9%98%B2%E7%81%AB%E5%A2%99

防火墙

防火墙是提高人们访问互联网的兴趣的一个工具,它能够提高私有网络的安全性。这节 将介绍防火墙是什么,如何使用它们,和如何使用内核中提供的工具来实现它们。

注意:人们经常认为在你的内部网络与外部网络之间建立一个防火墙能够解决所有的安

全问题。但是一个糟糕的防火墙设置要比没有防火墙可能更加危险。一个防火墙可以为你的 系统增加另一个安全层,但它不可能完全阻止一些黑客高手侵入你的系统。如果你觉得你的 防火墙能够完全阻止黑客入侵而放松了安全设置,那你可能会让黑客侵入你的系统变得更加 容易。

什么是防火墙?

今天,经常使用的防火墙主要有两种类型。第一种类型是叫做packet filtering router,它主要是通过设置一定的规则来转发或阻止数据包的传输。第二种是proxy server, 依靠守护程序来提供验证,然后转发数据包。 Continue reading

Freebsd 如何_打开_关闭_查看防火墙

在FreeBSD服务器上调试ipfw防火墙规则的时候,有时候需要临时关闭ipfw防火墙,可以使用如下命令来进行操作:

1)停止ipfw防火墙:

ipfw disable firewall

/etc/rc.d/ipfw stop

2)开启ipfw防火墙:

ipfw enable firewall

/etc/rc.d/ipfw start

随机器启动自动启用防火墙方法需要修改/etc/rc.conf文件,参考:http://blog.haohtml.com/archives/9309第三步.

3)如何查看ipfw是否在运行

方法一:通过ipfw -a list 不断的去看包的数量

方法二:sysctl -a | grep net.inet.ip.fw.enable

如果状态是1表示是开启,0为关闭.

ipfw中文手册pdf:http://docs.haohtml.com/download/freebsd/ipfw_zh.pdf