源头:网海拾贝
Linux下的防火墙(firewall)从降生到此刻,防火墙次要经历了四个发展阶段:第一阶段:基于路由器的防火墙;第二阶段用户化的防火墙东西套;第三阶段:设立设置装备摆设在通用把持系统上的防火墙;第四阶段:具有安全把持系统的防火墙。目下当明全国上大少数防火墙供应商提供的都是具有安全把持系统的软硬件结合的防火墙,象闻名的NETEYE、NETSCREEN、TALENTIT等。在Linux把持系统上的防火墙软件也很多,有些是商用版本的防火墙,有的则是完全收费和果然源代码的防火墙。大少数Linux教程都提到了如安在Linux平台中运用IPCHAINS来修建防火墙。设置和管理Linux把持系统中的防火墙是汇集系统管理员的紧急事故。
有没有能随身携带的,运用便当的Linux防火墙呢?答案是有的,此刻我就向人人引见一种能装在高深软盘表面的Linux防火墙。这套名字叫floppyfw的Linux防火墙能存放在一张高深的软盘里,并独立的在RAM内存中运转。运用它能启动谋略机,运用ipchains过滤掉落无用的IP包,还可以运用它来设置装备摆设IP冒充(IP masquerade),监视端口,经由进程它可以运用主机对其他收聚集的谋略机进行远程控制。Floppyfw功能希罕很是强盛,但是它运转所需求的硬件情形却希罕很是低,除了需求一张软盘之外,只需8MB的内存就充分了。
Floppyfw需求的最的硬件装备如下: 起码8MB内存3.5"软驱显露卡键盘显露器
有的Linux系统中装两块网卡,能使得Floppyfw正常事故,这就需求每一块网卡的IRQ和内存所在都正确无误。在Linux系统中设置装备摆设双网卡信任很多系统管理员都是驾轻就熟的。
Floppyfw支撑以下的网卡。 3Com 3c509 NE2000 compatibles Tulip-based Intel EtherExpress PCI
关于软件:
把Floppyfw做成一张可以指导的软磁盘是一件希罕很是大略的事故。不外你要首先到http://www.zelow.no/floppyfw/download/ 把Floppyfw下载到谋略机的硬盘上。Floppyfw最新的版本应该是1.0.5可能更高,Floppyfw是一个镜像文件,可以运用 # dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k
这个饬令把镜像文件解压并写到准备妥的软盘上。
关于设置:
需求留意的是,一样伟大的软盘花样化往后都是DOS(FAT)的花样。为了能顺遂的启动Linux系统,我们需求在这张软盘上作一些删改。建议运用其他的谋略机来删改这张软盘,假设在Linux系统中运用MTOOLS东西删改则更好。
运用饬令如下: $ cd /tmp $ mcopy a:config $ vi config $ mcopy config a:
假设你运用的是其他的把持系统,我想在WINDOWS中可以运用记事本进行删改。在软盘中,我们可以看到floppyfw一共有5个文件: config (主设置装备摆设文件) firewall.ini (过滤法则) modules.lst (附加的 ip_masq 模块) sysLinux.cfg (内核启动参量) syslog.cfg (syslog 设置装备摆设, 比方/etc/syslog.conf)
在一样伟大情形下,我们不需求删改sysLinux.cfg可能modules.lst文件。我们次要的任务就是要删改config这个文件。为了大略清楚明了的分析');题目,我在这里不想过多的标明config这个文件表面的注意的设置装备摆设清单,只是着重分析');config文件结尾几个紧急的事故。
在(/bin/ash) 找到"OPEN_SHELL controls shell"这行文字,假设您的谋略机的内存少于12MB,把ONLY_8M设置成"Y"。USE_SYSLOG能测定系统中syslogd能否运转,而 SYSLOG_FLAGS则是剖断syslogd启动的标志。用户可以凭据本身的现究竟形进行删改。
附录:设置装备摆设清单一,这是一个经由进程测试的标准设置装备摆设清单。因为这个Linux系统中没有提供DHCP办事,运用的静态的IP,所以仅供有相似办事的用户提供参考。点击这里下载清单一
关于过滤法则:
此刻,让我们再来看看firewall.ini文件。没有删改之前的floppyfw 的firewall.ini文件默许设置了静态的IP冒充和拒绝一些固定端口的会见。因为我们需求设立设置装备摆设本身的防火墙,所以我们需求对 firewall.ini文件进行删改。我们需求片面的设置过滤法则,关闭一些我们以为存在前在风险的端口。
在这里因为篇幅的关系我就不再说明注解若何设置ipchains。假设您想知道更注意的ipchains的设置装备摆设方案和注意运用方法,保举您参考以下的这个海外的Linux防火墙ipchains设置装备摆设方案。
Firewall.ini 的过滤法则的注意设置可以参考设置装备摆设清单二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z),这是一个曾经删改好了的设置装备摆设。假设你对Linux的防火墙不太熟悉,那么可以直接下载这个设置装备摆设清单来进行参考可能直接运用。
清单二可以提供最基础的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS办事,一样伟大的客户端谋略机都可以经由进程安全的端口会见汇集和运用以上的办事。
关于LOG
一样伟大的Linux系统中的LOG文件可不少,主如果记录系统运转中的一些次要参数和记录。上面曾经说过了,syslog.cfg就是一个管理和记录LOG 的文件。Floppyfw能经由进程这个syslog.cfg文件记录下Linux防火墙系统中的控制记录,比方键盘错误,显露器没有安置等信息也被如是的记录上去。这为然后系统管理员分析和措置处罚系统题目提供了有利的凭据。syslog.cfg的设置也不难,首先把syslog.cfg设置成某台谋略机的主记录文件。比方,在Red Hat系统中,经由进程编纂/etc/rc.d/init.d/syslog可以到达目标。假设这台谋略机的IP是192.168.1.2,那么在 syslog.cfg则要设置装备摆设成同等的IP。注意的设置装备摆设清单可以参考"清单三"(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)
一旦你把前面三个次要的文件设置装备摆设好了往后,那么你就可以经由进程这张软盘启动Linux系统进行测试了。
假设你在设置装备摆设和测试防火墙中还遇到其他的题目,可以参考以下网址: Floppyfw by Thomas Lundquist: http://www.zelow.no/floppyfw/Linux Firewalls by Robert L. Ziegler: http://Linux-firewall-tools.com/Linux/faq/
末了,我在这里还要希罕引见一个也是相当不错的Linux防火墙NetMAXFireWall。
NetMAX FireWall来自Cybernet Systems 公司,该防火墙的次要特点是随便安置,运转波动,对硬件需求低,安全提防成绩希罕很是空想。因为NetMAX防火墙是经由进程完全的图形用户界面(GUI)来一步步指导用户安置的,那么NetMAX防火墙可以说是希罕很是的得当Linux初学者和对Linux系统明白未几的用户。
假设您还记得去年8 月的LinuxWorld Conference & Expo 盛会的话,那么您能够见过NetMAX防火墙参与过那次Linux博览会的展现。和其他版本的防火墙不同的是NetMAX防火墙具有配合的,安全的Web -based构造来呵护Linux系统的安全。设置装备摆设NetMAX防火墙可以经由进程汇集来进行响应的设置装备摆设和调试,无疑这为很多用户和系统管理员提供了很大的便当。这也是NetMAX防火墙能吸惹人的地方之一。
不外,NetMAX防火墙可不是收费的防火墙版本,假设您需求安置NetMAX防火墙,那么您不得不采办一张NetMAX防火墙的光盘,因为NetMAX 防火墙并不支撑汇集安置形式。运用CD-ROM光盘安置形式安置NetMAX防火墙需求10分钟的时分,这比起运用汇集安置形式要快得多了。假设您需求明白更多的NetMAX防火墙信息可能采办NetMAX防火墙光盘,敬请查问以下网址:Cybernet Systems Corporation: http://www.cybernet.com/
好,上面就让我们一同来看一看NetMAX防火墙的大略安置。
测试平台: 措置处罚器: Pentium 200 MMX内存: 64 MB RAM 硬盘: 2.1 GB 汇集:两块 3Com ISA 3c509B NICs 系统平台:把持系统: Red Hat Linux 6.2Kernel: 2.2.16
安置之前,需求设置谋略机主板上的BIOS,运用CD-ROM驱动器指导谋略机。放入NetMAX防火墙光盘。
NetMAX 防火墙的指导初始化屏幕和RED HAT的安置初始化界面是差未几的,令人惊异的是NetMAX防火墙的版权信息提醒看上去就是把RED HAT这几个字换成了NetMA而已。安置过RED HAT 的用户就一点也不感觉陌生。NetMAX防火墙的开拓公司称NetMAX防火墙就是基于Red Hat Linux刊行版本而打算的。所以Red Hat Linux能和NetMAX防火墙相处得很好。
初始化界面载入后,NetMAX防火墙和Red Hat Linux相似之处就愈加分清楚明了。接着NetMAX防火墙就会实行着分析和查找谋略机上的硬件装备,因为NetMAX防火墙需求安置必要的kernel模块,假设NetMAX防火墙不能正确的辨认硬件和载入kernel模块,它会显露错误的提醒给用户。NetMAX防火墙是不会一次性安置统统的器械到 Linux中获得。它首先会扣问用户Linux系统中的汇集设置装备摆设参数让用户确认。然后扣问用户能否附和遭受进行console-based 安置。假设选择"NO",那么NetMAX防火墙就会启动Apache和提供用户一个基于汇集的URL参数提供应用户指定和删改。
好,假设我们选择"NO",那么就会出现上面的安置情形,NetMAX防火墙就会在Linux系统中掀开了WEB浏览器(KDE 2's Konqueror)。假设这是我们填入一个URL,那么一个错误的信息就会在屏幕上弹出来。当错误的信息弹出后,NetMAX防火墙就要求用户删改 https URL。至于错误信息弹出的缘由,我们尚未领略,不外,在我们一样平时平时安置和设置装备摆设Apache 的时分也会有相反的情形出现。
依照 NetMAX防火墙的提醒运用https删改初始化安置之后,NetMAX防火墙这是才真正显显露它的授权和保持信息。这和一样伟大软件在一最先安置就显露版权,授权等信息是不同的。点?quot;Click here to continue" 就可以进一步安置了。需求留意的是,假设您细心观察,您就会发现NetMAX防火墙的运用手册有228页之多。手册表面有"基础题目措置处罚方法",假设在安置和运用 NetMAX防火墙遇到题目标时分就可以反省这本手册了。但是不是统统我们在安置的时分遇到的题目都能找随措置处罚的方法。手册上列有的题目措置处罚方法毕竟成绩是无限的。
因为NetMAX防火墙采用了图形用户界面的安置形式,所以只需您对Linux系统中的运用软件的安置斗劲熟悉的话,安置和测试NetMAX防火墙应该是一件希罕很是轻松的事故的。
版权声明:
原创作品,应承转载,转载时请务必以超链接形式标明文章 原始来由 、作者信息和本声明。否则将追查执法责任。