题目:
【说明】 Plug-gw是Linux配置中常带的通用代理程序,可用来代理POP3、HTTP等应用层服务。附图3为某网络结构图,内部网段上有一台POP3服务器和一台FTP服务器。代理服务器中使用ipchains包过滤技术来实现防火墙功能。
ipchains的部分相关信息如下:
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.11.2/32 ftp-I eth0 - j ACCEPT
/sbin/ipchains-A input-p tcp-s (1) 1024:-d 192.168.80.2/32 (2) -I eth0 - j DENY
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.11.2/32 ftp-data-I eth0 - j ACCEPT
/sbin/ipchains-A input-p tcp-s 192.168.11.2/32 ftp-d 0.0.0.0/0 1024:-I eth1 - j ACCEPT
/sbin/ipchains-A input-p tcp-s 192.168.11.2/32 ftp-data-d 0.0.0.0/0 1024:-I eth1 - j ACCEPT
/sbin/ipehains-A input-p tcp-s 192.168.11.0/24 1024:-d 0.0.0.0/0 ftp-I eth1-j ACCEPT
/sbin/ipchains-A input-p tcp-s (3) 1024:-d 0.0.0.0/0 ftp-data-I (4) - j DENY
/sbin/ipchains-A input-p tcp-s 192.168.11.0/24 1024:-d 0.0.0.0/0 ftp-data-I eth1 - j ACCEPT
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 ftp-d 192.168.11.0/24 1024:-I eth0-j ACCEPT
/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 ftp-data-d 192.168.11.0/24 1024:-I eth0 - j ACCEPT
【问题3】 该防火墙是怎样来实现包过滤的
答案:
参考答案:
除200.117.112.0网络的ftp-data请求外,所有ftp请求都允许通过 eth0网卡进入内网;允许ftp服务器对Internet上的请求给予响应;除192.168.11.12主机的ftp-data请求外,所有内网主机都允许请求Internet的ftp服务,允许Internet上的 ftp服务器对内网主机的ftp请求给予响应。
