Linux服务器上适用的防火墙

YIWUTIAN

linux作防火墙无非是iptable或者ipchains。
但是手动编辑规则文件是非常麻烦、烦琐、无聊、复杂、头痛....   ......(此处省去5000字)
如果手动编辑规则，怎么作，都不是好用的防火墙。
有没一种代替手工编辑iptable(现在都用它，ipchains已经被代替)规则文件的东东呢？将简单的思路变成复杂的iptable规则呢？？？
安装mandrake时看到它带一个叫shorewall的软件，就是来作这种事情的。于是到
www.shorewall.net查看。原来linux作防火墙可以这样简单：
编辑几个配置文件~~~~~~启动shorewall---------ok。
下面就说说以fedora为例的防火墙制作：


step1：安装fedora2(其实其他版本的linux也可以的内核可以是2.4或者2.6)
包括iptable和iproute。
step2：下载并安装shorewall;下载：http://www.shorewall.net;我下载的rpm版本
直接rpm -ivh shorewall.rpm就ok。
装好的shorewall会有这些文件：
/etc/shorewall目录----放置shorewall的配置文件。
/sbin/shorewall执行文件----启动停止shorewall
/usr/share/shorewall目录----规则文件。
首先删除/etc/shorewall/startup_disabled文件。这样才能启动shorewall

首先编辑interfaces文件，定义每个区域对应的网卡。
第一栏是定义的区域，net就是接入网络的区域
loc就是本地网络区域，dmz代表dmz区域(安全区，如果不了解请查询相关信息)。
第二栏代表连接定义的区域的网卡。shorewall将网络用区来划分，fw就是防火墙本身，net一般代表外网，loc代表内网，dmz就代表放置服务器的安全区。

net    eth0
loc    eth1
dmz    eth2
保存退出。

编辑masq文件。定义需要动态NAT的网络界面，也就是需要通过防火墙上网的界面。

eth0 eth1
eth0 eth2
第一栏代表外网连接的网卡，第二栏代表需要通过第一栏界面上网的界面。
保存退出。

编辑rules文件
DNAT   net  dmz:192.168.3.9 tcp    80   -   130.252.100.70
代表dmz区的192.168.3.9 的tcp80端口dnat到net区，ip为130.252.100.69,也就是说可以从外网的130.252.100.69访问dmz区的192.168.1.3的http服务。
也就是说当外网访问130.252.100.69的http服务时，信息将由192.168.3.9提供。

DNAT   net  loc:192.168.1.3 tcp    80   -   130.252.100.70
代表loc区的192.168.1.3 的tcp80端口dnat到net区，ip为130.252.100.69,也就是说可以从外网的130.252.100.69访问loc区的192.168.1.3的http服务。
REDIRECT loc  3128   tcp  www   -   !192.168.2.2
从定向loc区对3128端口的访问到192.168.2.2。
ACCEPT  net:130.252.100.69,130.252.100.70 fw tcp    22
允许net区的130.252.100.69和130.252.100.70访问fw区(代表防火墙本身)的tcp22端口(ssh)
保存退出。
这样，你就制作了一个基本的3区防火墙，也可以叫dmz防火墙。
运行shorewall start开启shoreall
运行shorewall stop停止shorewall
运行shorewall clear清除存在的iptable规则
shorewall status将显示iptable状态。


当然这个东东要求你对网络知识的了解比较多一点。如果发觉有不明白的地方，先看看tcpip方面的书再来吧。

而且shorewall的功能非常强大，我们今天写到的也只是很少的一部分。

有个软件叫bering。就是一张软盘，上面集成了linux和shorewall而且带一个微型的web服务器用来管理shorewall，很不错哦，可惜没有很好的软盘来配套，于是作了个u盘版的fedora装shorewall，感觉──好极了。