[问题求助]Linux服务器上适用的防火墙 [复制链接]

linux作防火墙无非是iptable.或者ipchains.。.
但是手动编辑规则文件是非常麻烦、烦琐、.无聊、复杂、头痛.....   ......(此处省去5000字)    外汇
如果手动编辑规则，怎么作，都不是好用的防火墙.。(广告)
有没一种代替手工编辑iptable(现在都用它，ipchains已经被代替).规则文件的东东呢？将简单的思.路变成复杂的iptable规则呢？？？.
安装mandrake时.看到它带一.个叫shorewall的软件，就是来作这种事情的。于是到虚拟主机
www.s.horewall.net查.看。原来linux作防火墙可以这样简单：虚拟主机
编.辑几个配置文件~~~~~~启动shorewall.---------ok。          婚庆
下面就说说以f.edora为例的防火墙制作：外贸


step1：安装fedora2(其实其他版本的linux也可以的内核可以.是2..4或者2.6)[成人用品]
包括iptable和.iproute。           建材
step2：下载并安装shorewall;下载：http://www.shorewall.net;我下载的rpm版本.
直接rpm .-ivh s.horewall.rpm就ok。.
装好的shor.ewall会有这些文件：
/etc/shorewall目..录----放置shorewall的配置文件。(广告)
/sbi.n/sh.orewall执行文件----启动停止shorewall(广告)
/usr/share/s.horewall目录----规则文件.。.
首先删除/etc/shor.ewall/star.tup_disabled文件。这样才能启动shorewall<性病>

首.先编辑inter.faces文件，定义每个区域对应的网卡。<性病>
第一栏是定义.的区域，net就是接入网络的区域--------------彩票
loc就是本地网络区域，dmz代表dmz区域(安全区，如果不.了解.请查询相关信息)。--- 印刷
第二栏代.表连接定义的区域的网卡。s.horewall将网络用区来划分，fw就是防火墙本身，net一般代表外网，loc代表内网，dmz.就代表放置服务器的安全区。投资

net    eth0
loc    eth1
dmz    eth2
保存退出。

编辑ma.sq文件。定义需要动态NAT的网络界面，也就是需要通.过防火墙上网的界面。.

eth0 eth1
eth0 eth2
第一栏代.表外网连接的网卡，第二栏代表.需要通过第一栏界面上网的界面。健康
保存退出。

编辑rules文件
DNAT   net  .dmz:192.168.3.9 tcp    80   -   130.252..100.70学习
代表dmz区的192.168.3.9 的.tcp80端口dnat到net区，ip为130.252.100.69,也就是说可以从外网的13.0.252.100.69访问dmz区的192.168.1..3的http服务。.
也就是说当外网访问13.0.252.100..69的http服务时，信息将由192.168.3.9提供。    外汇

DNAT   net  loc:192.168.1.3 tcp    80   -.  . 130.252.100.70          婚庆
代表loc区.的192.168.1.3 的tcp80端口dnat到n.et区，ip为130.252.100.69,也就是说可以从外网的130.252.100.69访问.loc区的192.168.1.3的http服务。.
REDIRECT loc.  3128   tcp  www   .-   !192.168.2.2           鲜花
从定向loc区对3.128端口的.访问到192.168.2.2。             汽车
ACCE.PT  net:130.252.100.69,130.252.100.70 fw tcp   . 22.
允许net区的130.252.100.69和13..0.252.100.70访问fw区(代表防火墙本身)的tcp22端口(ssh)             电子
保存退出。
这样，你就制.作了一个基本的3区防火墙，也可以叫dmz防火墙.。--- 印刷
运行sho.rew.all start开启shoreall.
运.行shorewal.l stop停止shorewall    外汇
运行shorew.al.l clear清除存在的iptable规则教育
shorewall status.将显示ipt.able状态。电脑


当然这个东东要求你对网络知识的了解比较多一点。如果发觉有不明白的地.方，先看看tcpip方面的书再来吧.。服务器

而且shorewall的功能非常强大.，我们今天写到的也只是很少的.一部分。.

有个软件叫beri.ng。就是一张软盘，上面集成了linux和shorewa.ll而.且带一个微型的web服务器用来管理shorewall，很不错哦，可惜没有很好的软盘来配套，于是作了个u盘版的fedora装shorewall，感觉──好极了。           建材