Shorewall的单用户简单设置

　　因为我的机器配置不高，firestarter也太不稳定，在我的breezy上老崩溃，新手指南上面的shorewall不是针对单机用户，语法规则shorewall3.0.4有所改变。

　　本机情况：电信ADSL，ISP动态分配ip。单机单网卡连接adsl modem（PPPoE）上网，全新安装shorewall。

　　一、linux防火墙基本知识

　　除了软件和硬件防火墙的分类外，如果以封包抵挡机制来分类，大概可以分为proxy和IP Filter。

　　基本上linux的IP Filter有两个最基本的防火墙机制，分别是：Ip Filter和TCP_Wrapper。

　　这里我们谈IP Filter，因为shorewall可以通过IPTABLES简单设置IP Filter的规则。

　　或者说：如果你不麻烦iptables的语法规则，或者可以自己写一些shell程序批处理iptables指令，完全可以不安装shorewall或者其他防火墙。因为linux下的防火墙基本都是通过设置iptables的规则完成的。

　　1.首先确定(uname指令确定核心，lsmod确定当前载入模块，如果是ipchains，请执行rmmod ipchains。

　　然后modprobe ip_tables即可将iptables装入现在使用的模块)你的内核是采用哪种抵挡机制，是不是

　　我们需要的iptables（Ubuntu5.10的是iptables）

　　Linux Kernel Version 2.0：使用 ipfwadm

　　Linux Kernel Version 2.2：使用的是 ipchains

　　Linux Kernel Version 2.4：主要是使用 iptables 但为了兼容 ipchains ，因此在 Version 2.4 版本中，同时将 ipchains 编译成模组供使用，好让使用者仍然可以使用來自 2.2 版的 ipchains 的防火墙规则。

　　然后执行下面代码来观看现在的防火墙规则（联网情况下，root用户）

　　$ sudo iptables -L -n (L的含义是列出目前的 table 的规则，n含义是不进行IP与HOSTNAME的相互转换，这样可以加快显示速度）

　　$ sudo iptables -t nat -L -n （-t nat的含义是显示nat的filter。iptables会有nat tables和filter tables，不加参数为filter。有兴趣的兄弟可以参看其他关于iptables的介绍，介于太长，此处不做介绍；）

　　接下来我们就要清除掉现在所有的防火墙规则（联网情况下）

　　root@＊＊＊ root]# /sbin/iptables [-t tables] [-FXZ]

　　其中参数含义为：

　　-F ：清除所以已经建立的规则；

　　-X ：杀掉所有使用者建立的 chain ( tables ）；

　　-Z ：把所有的 chain 的计数和流量统计归为0；

　　范例：

　　[root@＊＊＊ root]# /sbin/iptables -F

　　[root@＊＊＊ root]# /sbin/iptables -X

　　[root@＊＊＊ root]# /sbin/iptables -Z

　　[root@＊＊＊ root]# /sbin/iptables -t nat -F

　　二、具体安装Shorewall3.0.4

　　下载shorewall最新的稳定版本3.0.4（tarball安装，即为源代码make安装。确定你的机器跟随‘新手指南’装了基本编译工具），由于新立得里面还是2.多的版本，在官方网站看的是3的介绍，所以安装3.0.4。而且安装很简单,不会出现其他依赖性问题.

　　1.下载地址：http://www1.shorewall.net/pub/shorewall/3.0/shorewall-3.0.4/

　　2.安装前需要：iptables(前面提到的)+iproute （检查这个的指令是sudo Which ip ）（基本上ubuntu5.10都具备了，所以可以不考虑）

　　3.尽量不要在ms－windows里面编辑shorewall的配置文件，因为ms和lin的文字排版不太一样，比如回车。

　　4.cd到你解压之后的目录，然后./install.sh 回车，看见没有错误信息，就OK了。但是此刻shorewall没有启动。等会儿我们来启动。默认安装之后就是每次启动就自动启动防火墙（设置文件在 /etc/shorewall/shorewall.conf。找到STARTUP_ENABLED=Yes

　　，yes代表开机自动启动！）

　　5.安装之后所有文件分别位于：/usr/shorewall 和/sbin 和 /etc/shorewall，我们需要注意的就是/etc/shorewall。这里是配置文件。（个人建议，对于一些重要的，经常不需要变动的文件可以将隐藏属性chattr +i 上去，具体指令信息，请找‘男人’man ）