構建“不公開”的家用網絡

    本文詳細描述了我們一直未能引起足夠重視的家用網絡安全問題，并在文中以作者的家用網絡環境為例，講述了加強家用網絡安全性的一些具體方法。

1、簡介
    很長時間以來，我之所以一直沒有對我的家用網絡的安全性給予太多的關注，原因包括以下幾點：

1）撥號互聯網連接對黑客缺乏足夠的吸引力。

2）Linux比MS Windows的安全性能要好得多。我使用的Linux發行版本專門針對安全進行了優化。

3）我仿照Linux的HOWTO中的例子采取了一定的安全措施。

    這也是許多的普通Linux用戶的想法，然而不幸的是，這些措施都是一廂情愿的。為了在以后用上高速互聯網連接時仍然能夠免受黑客的侵擾，我認為現在就需要花費一定的時間來考慮網絡的安全問題，其結果是令人震驚的。

    第一件令人震驚的事來自長期被忽略的/var/log/syslog*文件，該文件中包括了一些禁止連接的條目，其中有一條被禁止連接的ftp，但它能夠明顯地連接成功?？磥?，撥號用戶并沒有被黑客遺忘??！我的家用網絡系統的安全性并非是萬無一失的，我需要在安全性上再花費一些時間。

2、系統的組成
    我有一個由二臺機器組成的非常簡單的網絡：工作站是一臺沒有配置打印機或調制解調器、運行Win 95的PC，服務器運行的是Debian Linux 2.1（帶各種升級軟件），它運行有exim（用于本地的電子郵件和向外發送電子郵件。）、qpopper（工作站使用的POP3服務器）和samba（向工作站提供文件共享和打印功能。）等應用軟件。服務器上配置有撥號連接（ppp），通過fetchmail收取外界的電子郵件。

    該局域網使用192.168.1.0-192.168.1.24之間的IP地址之一，服務器的IP地址是192.168.1.1，工作站的IP地址是192.168.1.2。服務器上的/etc/hosts和工作站上c:windowshosts的內容是：

127.0.0.1 localhost
192.168.1.1 heaven.my.home heaven
192.168.1.2 earth.my.home earth

    這表明我的局域網使用的域名為my.home，我沒有注冊這一域名，因此只能在局域網上使用。向外發送的郵件的發件人地址必須進行轉換。

3、“不公開”的家用網絡
    我對安全的概念是擁有一個“不公開”的網絡，也即該網絡不提供公用的功能，不提供WWW服務，不能使用telnet服務訪問它，甚至不能從外界收取任何信息。如果有人試圖訪問該網絡，它也不會作出什么響應。

    從概念上來說，不與互聯網連接的局域網就是一個“不公開”的網絡，也就是說，撥掉調制解調器，就能使你的網絡實現“不公開”化。但這并非我所指的“不公開”網絡，我希望在這樣的網絡上能夠使用互聯網，收發電子郵件、瀏覽網站、下載文件等服務，只是不想讓黑客非法入侵我的網絡而已。

    Linux通常情況下都不是一個“不公開”的網絡。缺省狀態下，Linux的安裝過程會建立各種網絡服務（象telnet、ftp、finger等），只要知道了口令，這些服務可以被任何一個人訪問。同樣，用微軟的Windows組成的家用局域網同樣也不是一個“不公開”的網絡，如果連接二臺運行Win95計算機組成一個網絡，并實現文件共享，只要互聯網連接開著，全世界的所有人就都可以共享你的計算機上的文件。

    可以通過各種技術實現公開網絡的安全，例如tcp偽裝、內核級的包過濾等，這些技術可以使網絡具有一定的“不公開”性，它們就象站在門口的哨兵一樣，把非法的訪問者擋在了外面，而把我們希望的客人放進來。但我不需要任何人訪問我的網絡，它是我專用的。

    如果服務器可以被外界訪問，我們總是會擔心有什么配置上的錯誤會被黑客利用。同時，服務器軟件通常也都存在可能被黑客利用的bug。盡管發現bug后，廠商會很快地推出補丁程序，但下一個bug呢？如果不讓任何人訪問網絡不是更安全嗎？

    如果確實需要開通一些讓家庭之外的計算機使用的服務，就必須研究更先進的安全技術，如果僅僅想實現家用網絡的“不公開化”，就請繼續看下面的內容吧。

4、網絡安全嗎
    為了測試網絡系統的安全性，可以使用Secure Design等工具從外部對網絡系統進行掃描。當我對我的網絡系統掃描后，我再次震驚了！有很多入口可供入侵我的系統：Samba、telnet、打印服務、X、電子郵件服務器、ftp、finger等。我已經采取了一些基本的措施來保證系統的安全性，因此，系統不會受到比較嚴重的外界入侵（我希望如此?。?。但我考慮到，外界知道我有電子郵件服務器，就是系統在安全方面的一個缺陷。因為這些服務是供我在家用網絡上使用的，它們與外界無關。

    也可以通過運行netstat -pan --inet命令自己對系統進行掃描，在掃描時使用一個較寬的xterm窗口，因為輸出中會包括比較長的內容行，在Local Address（本地地址）一列中地址為0.0.0.0的服務可以被外界發現。

5、服務器和客戶機
    對用戶來說，服務器和客戶機之間的區別并非是十分明顯的。例如，如果想使用ftp服務，可以使用ftp軟件與另一臺計算機連接。如果只想使用ftp完成這些任務，就只要ftp客戶端程序就可以了。如果想讓別人從你的計算機上下載文件，或向你的計算機上載文件，那就還需要ftp服務器端軟件。這與telnet非常相似，客戶端程序供自己使用，服務器端程序是讓別人使用的。服務器端和客戶端程序是完全不同的，它們有著不同的名子，例如，telnet客戶端程序的名字是/usr/bin/telnet，telnet服務器端程序的名字是/usr/sbin/in.telnetd。新手并不總是清楚這中間的區別的。在Linux安裝過程中如果系統詢問是否安裝ftp服務器，用戶會考慮自己需要使用ftp功能，就會選擇安裝。有時系統根本不問你，而自動地安裝ftp服務器。

    創建不公開網絡的途徑之一是不安裝服務器軟件，只安裝客戶端軟件。但如果你的家用網絡中連接有多臺計算機，這樣就會太簡單了，也許你需要在網絡中使用telnet、電子郵件服務，也就是說，你不能不使用服務器軟件。

    服務器的功能是監聽，它們監聽這樣的信號：我需要你提供服務。這個信號（至少是基于TCP的服務）是一個被稱作SYN包的特殊IP數據包，它表明了需要的服務的代號。例如，telnet服務的代號是23，這些數字通常被稱作“端口號”。如果in.telnetd軟件沒有運行，就沒有軟件監聽代號為23的SYN數據包，也就是所謂的“端口23關閉了?！?

    所謂的“端口”是不存在的，如果服務器進行監聽，端口就是打開的，否則就是關閉的。

    SYN數據包是如何進入計算機中的呢？在服務器一端，數據包可以通過三種方式進入系統：

1）從工作站過來的數據包通過以太網卡（也被稱作eth0接口）進入服務器，發給固定的IP地址192.168.1.1。

2）來自外部世界的通過ppp連接或ppp0接口進入服務器的數據包。這些數據包也有IP地址，但不是固定的。在每個對話中，ISP都會給出一個動態地址，該地址只能在該對話中使用。

3）數據包也可以來自服務器本身，其目標地址就是它本身。這種發送數據包的方式主要用在測試中，數據包的目標地址為IP地址是127.0.0.1的回送接口。名字localhost指的是回送接口，名字heaven的IP地址是192.168.1.1。（這一點很重要：名字和IP地址指的是接口，而非是計算機，盡管在日常使用中這種差別經常被模糊。）

    現在的關健是服務器總是監聽帶有“它們”端口號的所有數據包，而無論它們是如何進入系統的。如果我們希望建立一個不公開的網絡，不向外界提供服務，我們必須改變這種情況。

    如果所有在Linux上運行的服務器程序都有能夠指定它們監聽接口的選項，這一切就可以很方便地得到解決了。如果是這樣，就可以讓所有的服務器程序不要監聽ppp連接，也就不再需要任何安全措施了（tcpd、防火墻等）。也許在將來能夠實現這一點，但現在還沒有幾種服務器軟件能夠做到這一點（包括非常重要的exim和samba都不能。）因此，必須采取一些措施來使網絡實現不公開化。

    聽從“關閉不必要的端口”的建議沒有什么危害，也就是說，不要運行你不需要的服務器軟件。對于可以進行選擇的服務器軟件，使它們只能監聽內部的接口（eth0，如果有必要，再添加上回送接口）?！俺壏掌鳌眎netd（用于喚醒Linux系統上其他不同的服務器軟件）應該換成xinetd，它可以只監聽內部的接口。為應付其他的困難，需要安裝防火墻阻止外界的SYN數據包進入系統，它還可以防止不需要的UDP、ICMP數據包進入系統。要實現更高的安全性能，還需要采取其他的一些安全措施，其中一條是不在網絡上使用IP偽裝和轉發。

6、刪除不必要的服務
6.1 不必要的inetd服務

    在Linux系統中總有一些服務是由inetd.conf啟動的。幾乎所有的Linux系統都有一個被稱作inetd的超級服務器，它的職責是同時監聽許多端口，并在需要時喚醒相應的服務。然而，它也可能喚醒用戶所不需要的服務，一些不需要的服務的例子是：

    ftp服務器。我不想與外界共享任何文件，而在內部我可以使用Samba和smbfs來傳輸文件。不安裝ftp服務器不會對運行ftp客戶端軟件與外界交換文件產生任何影響。但大多數的Linux版本都會缺省地安裝ftp服務器。

    portmapper和與RPC調用有關的東西。portmapper用來實現RPC，如果使用了NFS，則需要它的支持，但我在家用網絡上并不使用NFS。因此，所有inetd.conf中與portmapper和與RPC有關的內容都可以注釋掉。

    finger和ident。在是否使用ident上，各種意見是見仁見智，我刪除了它，并沒有感覺到受到什么不利的影響。

    inetd.conf中的一些服務是只用于測試網絡：echo、chargen、discard、daytime、和time，最后二種服務與你的系統時間沒有任何關系，它們只是一種告訴別人你的系統時間的服務。一般情況下不需要這些服務和任何用于測試目的的服務。

    這些服務都可以通過注釋掉/etc/inetd.conf中相應的行（在相應的行前添加#）而關閉，但需要重新啟動inetd。

6.2 其他不必要的服務

    如果一種服務不是由inetd喚醒的，而是作為一種后臺軟件獨立運行的。除portmapper（作為后臺程序運行）之外，有些后臺程序是用不著的，沒有理由讓一個小型的家用網絡運行這些程序。你的機器上的/etc/hosts和C:windowshosts以及/etc/resolv.conf中的ISP名字服務器的地址都能夠使外界查找你的網絡的地址。

    通過將服務從啟動目錄中刪除，有一條命令可以自動地在啟動時不讓某種服務開始運行。例如，可以運行下面的命令刪除tamagotchi服務器：

update-rc.d -f /etc/init.d/tama remove

7、確保所需要的服務的安全性
    盡管已經去除了我們不需要的服務，但還需要使網絡對外界是不公開的，有些服務中的配置選項可以保持它是不公開的。

7.1 X

    X的設計目標是面向網絡的窗口系統，但實際上在大多數的情況下，其網絡功能根本就不會被利用，而這就帶來了安全方面的風險?？梢允褂孟旅娴拿钚羞x項啟動X系統，從而關閉其中的網絡功能：

startx -- -nolisten tcp

    運行上述的命令后，Secure Design就不會再報告“X11 is open”的消息了。要使X在每次啟動時都以這種方式啟動，可以以如下方式為startx在~/.bashrc、/etc/profile或其他較好的位置生成一個別名：

alias startx="startx -- -nolisten tcp"

-nolisten tcp命令應該在一個X11的資源文件中，但我還沒有發現是哪一個。alias在任何方式下都有效。為了對上述作法的效果進行測試，運行netstat -pan --inet，在報告的信息中就不會再報告X的有關信息了。當然，如果能夠保留X的局域網功能，而拒絕外界的訪問是最好的，但我不知道如何作到這一點。

7.2 Samba

     在Debian的系統中，Samba的配置文件是/etc/samba/smb.conf（在其他的系統上，Samba的配置文件可能是/etc/smb.conf。）。在安裝Samba時，選擇讓Samba以后臺方式運行，因為用inetd啟動它有時會出現問題。在/etc/inetd.conf中任何與netbios（Samba會用到它。）相關的內容都必須注解掉。然后在/etc/samba/smb.conf中的[global]小節中添加下面的內容：

bind interfaces only = True
interfaces = 192.168.1.1

    在/etc/init.d/samba重新啟動后，Samba就只會以后臺程序的方式對內部網絡進行監聽了，對外界而言就“失蹤”了。

7.3 Exim

    Exim是我的系統上的郵件服務器，也許有的讀者的系統上安裝的可能是sendmail或postfix，但它們的原理是一樣的，即不要讓你專用的郵件代理去監聽從外界發送來的電子郵件。如果有人發送郵件給你或你的家人，他會發到你在ISP那兒的郵箱里，然后你可以使用郵件客戶端軟件到在ISP那兒的郵箱中收取郵件?？傊痪湓?，外面的人不能直接給你的網絡上發郵件。

    Exim有可以只監聽本地網絡的選項（這一部分在/etc/exim.conf中的MAIN CONFIGURATION小節中。），下面是exim要監聽的端口的清單。需要說明的是，只有exim以后臺方式運行時才有效，而由inetd啟動時是無效的。

1）在/etc/exim.conf中的MAIN CONFIGURATION小節中輸入一行：

local_interfaces = 192.168.1.1:127.0.0.1

2）注釋掉/etc/inetd.conf文件中的smtp行。

3）在/etc/init.d/exim中注釋掉開始處#usually this is disabled and exim runs from /etc/inetd.conf行之后的exit 0這行內容，讓exim以后臺程序方式運行，這也意味著在每次改變exim.conf后，都需要運行/etc/init.d/exim restart。讓exim以后臺程序方式運行，雖然這樣它會一直消耗CPU時間和一些內存，但你得到的回報是，exim的RETRY CONFIGURATION也會恢復正常，它在exim從inetd啟動運行時不會正常運行的。

7.4 Junkbuster

    Junkbuster是一個http代理服務器，可以用它來刪除廣告和其他不需要的內容，它的效果不錯。在Debian的系統中，它監聽5865端口；在別的系統中，它監聽8000端口。它的設置在/etc/junkbuster/config文件中，缺省狀態下，junkbuster監聽所有的網絡連接（也就是全世界?。?。幸好我們可以在它的配置文件中進行如下設置：

listen-address 192.168.1.1:5865

這樣設置后，它就只能監聽內部網絡上的連接了。

7.5 其他（不從inetd啟動）的服務

    上面只是簡單的幾個例子，如果你的系統還運行著不能從inetd中啟動的服務，這時就只好借助其文檔來進行安全的配置了。例如，只要在sendmail.cf文件中添加：

0 DaemonPortOptions=Addr=192.168.1.1

sendmail就只能訪問本地網絡了。

7.6 lpd問題

    lpd仍然是個不大不小的問題，它無法只監聽內部的網絡連接。因此，它應當被更安全一些的應用程序代替，例如pdq。

8、通過xinetd掩蓋inetd服務
現在再用Secure     Design對系統進行掃描，就會發現能夠發現的服務就只剩下3種了：telnet、pop3、lpd（打印系統），盡管已經比原來要少得多，但對于一個安全的系統而言這仍然是太多了。telnet、pop3是由inetd/tcpd啟動的，因此可以通過hosts.allow和hosts.deny來強化它的安全性能，但我不能保證這一系統100%地不會被黑客攻破。lpd仍然是完全對外開放的，這非常不安全，但我認為，它不能夠由inetd進行啟動。

8.1 替換inetd

    要保證家庭網絡的安全就需要用能夠區分本地網絡請求和外界網絡請求的軟件代替inetd，xinetd是個不錯的選擇，但也可以選用其他有類似功能的軟件。首先，關閉inetd，然后，安裝xinetd。需要指出的是，Debian系統的/etc/init.d/xinetd不但能夠以后臺方式啟動xinetd，還能啟動portmappe，而我們不需要portmappe所提供的服務，因此，應該在/etc/init.d/xinetd中將所有與portmapper有關的內容注釋掉（在有關行的開始處加#號。）。

下面是一種可以讓xinetd支持telnet和pop3的/etc/xinetd.conf文件配置方式：

defaults
{
instances = 10
log_type = SYSLOG daemon
log_on_suclearcase/" target="_blank" >ccess += DURATION HOST USERID
log_on_failure += HOST
interface = 192.168.1.1
}
service telnet
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
}

service pop-3
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.qpopper
}

    除一個指定網絡連接的通用的defaults小節外，每種服務還需要一個單獨的小節。盡管文件的格式完全不同，但但每個小節的資料在inetd.conf中都能找到。

    啟動xinetd后，驗證是否能夠從服務器本身和工作站上使用telnet訪問服務器，使用Secure Design進行掃描發現，我的系統的telnet和pop3端口再也不是對外開放的了。

    現在，/etc/inetd.conf中的其他服務已經都被注釋掉了，inetd也就沒有什么用了，因此我們可以在啟動腳本中刪除它，方法如下所示：

update-rc.d -f /etc/init.d/inetd remove

它應該由xinetd代替：

update-rc.d xinetd defaults

好了，我們已經向著實現網絡安全這個目標又前進了一步。

netstat -pan --inet命令的執行結果如下所示：

heaven:~# netstat -pan --inet
Active Internet connections (servers and established)
Proto Local Address Foreign Address State PID/Program name
tcp127.0.0.1:25 0.0.0.0:*LISTEN 11391/exim
tcp192.168.1.1:250.0.0.0:*LISTEN 11391/exim
tcp192.168.1.1:139 0.0.0.0:*LISTEN 10761/smbd
tcp192.168.1.1:5865 0.0.0.0:*LISTEN 1670/junkbuster
tcp192.168.1.1:110 0.0.0.0:*LISTEN 161/xinetd
tcp192.168.1.1:230.0.0.0:*LISTEN 161/xinetd
tcp0.0.0.0:515 0.0.0.0:*LISTEN 148/lpd MAIN
udp192.168.1.1:138 0.0.0.0:*10759/nmbd
udp192.168.1.1:137 0.0.0.0:*10759/nmbd
udp0.0.0.0:138 0.0.0.0:*10759/nmbd
udp0.0.0.0:137 0.0.0.0:*10759/nmbd
raw0.0.0.0:1 0.0.0.0:* 7 -
raw0.0.0.0:6 0.0.0.0:* 7 -

    幾乎所有的服務都只監聽本地網絡連接，只有打印系統是個例外，它監聽0.0.0.0地址的515端口。如果這時對系統進行掃描，就只有端口515是開放的。事實上，一些面向Windows的服務會報告系統所有的服務都不向外開放，因為它們不掃描515端口。

9、使用IP偽裝
    數年來，我一直在Windows系統上使用IP偽裝技術訪問互聯網。直到最近對系統安全進行詳細檢查后，我就不再使用IP偽裝技術了。

    為什么會這樣呢？因為運行Windows的工作站只進行三種與互聯網有關的工作：收發電子郵件，這并不需要工作站與互聯網直接相連，它只要訪問在工作站上運行的smtp和pop3服務器即可；瀏覽信息，要完成這一工作，它只需訪問在服務器上運行的junkbuster即可，仍然無需直接與互聯網相連；收取ISP服務器上的郵件，要完成這一工作，工作站的用戶只要使用telnets訪問服務器，然后在服務器上運行fetchmail即可。

    自六個月前安裝junkbuster后，我的工作站一直沒有直接與互聯網連接過，因此IP偽裝就成多余的了。不使用IP偽裝后，有幾點好處：

簡潔：ipchains不再有FORWARD鏈，因此我們無須再關心FORWARD的問題，無須在工作站上建立DNS。

安全：如果工作站上感染了Trojan木馬程序，它就再不能通過互聯網與其幫兇聯系了。

    這種方式的唯一不足之處是，工作站只能使用電子郵件和上網瀏覽信息了，而再不能用ping和telnet與外部聯系了，也再不能使用 ftp、Real Audio和聊天了。但就目前來看，電子郵件和上網瀏覽信息也就能夠滿足我的需要了。

    在Debian的系統中，要關閉IP偽裝和FORWARD鏈，可以將/etc/network/options文件中的第一行改為ip_forward=no；可以通過echo 0 > /proc/sys/net/ipv4/ip_forward刪除所有與IP偽裝有關的命令，例如啟動腳本中的ipchains -A forward -s 192.168.1.0/24 -j MASQ命令。

10、關上最后一扇門
    我們來總結一下已經采取的措施：通過關閉不必要的服務、重新配置一些服務使它們不再監聽網絡接口、把其他服務交由xinetd啟動和關閉IP偽裝，我們已經在沒有使用防火墻的情況下實現了一個樣比較安全的網絡?，F在，還需要采取最后一道防御措施：使用ipchains來為系統建立一個基于包過濾技術的防火墻。

    在配置ipchains中一個最常見的方法是，缺省地拒絕所有的訪問，然后再開放你希望訪問的部分，從理論上講，這沒有什么不對，但實際上，這樣作會引起許多問題。如果關閉所有的訪問權限，系統也就沒有什么用了，在決定需要允許哪些訪問時，就會變得手足無措。因此，我缺省地允許所有訪問權限，然后，再一步一步地添加對訪問權限的限制。一旦發現對某些限制措施太嚴格，可以再放寬一些，可以在最后而不是在一開始就將一個鏈的訪問策略設置成DENY或REJECT。

我們通過運行ipchains -F命令關閉防火墻，然后再運行只有一條規則的防火墻腳本程序：

#!/bin/sh
# simple firewall

ipchains -F input
ipchains -P input ACCEPT
ipchains -A input -i ppp0 -p TCP --syn -j DENY -l

    這一規則阻止外部的SYN數據包進入系統，這就在相當大的程度上強化了系統的安全性能。沒有人能夠從外部與我的系統進行連接，從外部進行的掃描服務也報告我的網絡被完全“關閉”了。我們可以對系統的訪問作更多的限制，也就是說，我們可以使用更常見的DENY/REJECT，而有針對性地使用ACCEPT規則。

    在對系統的訪問權限進行更多的限制前，多進行試驗是十分有用的?？梢蕴砑釉试S數據包通過的ipchains類規則，而將通過的數據包記入日志中，即使不知道阻止的是哪些數據包，也可以通過使用tail -f /var/log/syslog打開一個窗口，看一下其中的哪些數據包是“正常的”，然后可以添加相應的規則，禁止那些“非正?！钡臄祿?。我強烈建議一定要自己動手進行試驗，并根據自己的理解添加相應的規則。

    經過一系列的試驗后，我在/etc/ppp/ip-up.d中添加了如下的防火墻腳本文件。在這里，我假設系統沒有運行名字服務器，但在/etc/resolv/conf中有2個ISP提供的名字服務器的地址。

#!/bin/sh
# 一個有點復雜的防火墻

# 查找外部的名字服務器的地址
ns="`grep nameserver /etc/resolv.conf | awk {print $2}`"
nameserver1="`echo $ns | sed -e s/ .*//`"
nameserver2="`echo $ns | sed -e s/.* //`"

# 建立INPUT規則
ipchains -F input
ipchains -P input ACCEPT

# 禁止來自外部的訪問
ipchains -A input -i ppp0 -s 10.0.0.0/8 -j DENY
ipchains -A input -i ppp0 -s 172.16.0.0/12 -j DENY
ipchains -A input -i ppp0 -s 192.168.0.0/16 -j DENY

# 禁止來自外部的TCP連接
ipchains -A input -i ppp0 -p TCP --syn -j DENY -l

# 禁止除名字服務器應答之外的所有UDP數據包
ipchains -A input -i ppp0 -p UDP -s $nameserver1 53 -j ACCEPT
ipchains -A input -i ppp0 -p UDP -s $nameserver2 53 -j ACCEPT
ipchains -A input -i ppp0 -p UDP -j DENY -l

# 允許ICMP數據包但將其記入日志
ipchains -A input -i ppp0 -p ICMP -j ACCEPT -l

# 只允許從本地網絡上發送的數據包，轉發功能被關閉，其他的數據包發不到其他地方# ，但我們可以將它們寫到日志文件中，并檢查網絡上是否出了問題。
ipchains -A input -i eth0 -d 192.168.1.1 -j ACCEPT
ipchains -A input -i eth0 -d 192.168.1.255 -j ACCEPT
ipchains -A input -i eth0 -j REJECT -l

#建立OUTPUT規則
ipchains -F output
ipchains -P output ACCEPT

# 禁止向保留的地址發送所有的數據包
ipchains -A output -i ppp0 -d 10.0.0.0/8 -j REJECT
ipchains -A output -i ppp0 -d 172.16.0.0/12 -j REJECT
ipchains -A output -i ppp0 -d 192.168.0.0/16 -j REJECT

# 禁止除名字服務器請求之外的所有UDP數據包
ipchains -A output -i ppp0 -p UDP -d $nameserver1 53 -j ACCEPT
ipchains -A output -i ppp0 -p UDP -d $nameserver2 53 -j ACCEPT
ipchains -A output -i ppp0 -p UDP -j REJECT -l

# 允許向外部發送ICMP數據包，但會將它們寫在日志中。
ipchains -A output -i ppp0 -p ICMP -j ACCEPT -l

# 我們沒有添加FORWARD規則，轉換功能被關閉了。

    這樣一個防火墻（可以根據自己的需求和愛好適當地加以修改。）將給你的系統提供一個額外的保護層。但你的網絡系統的安全不能主要依靠防火墻來保證，原因是防火墻非常復雜，極易出錯，因此應該首先采用其他的措施來保證網絡系統的安全。

(劉彥青)

原文轉自：http://www.kjueaiud.com