ShoreWall进阶实用介绍(1)

在上一篇iptables防火墙配置工具ShoreWall的安装和使用实例中，我们介绍了如何安装和使用ShoreWall工具来进行防火墙配置，在本篇文章中，将给大家介绍它的一些高级组件的使用实例。

一、进阶组件介绍

1、params

这是用来设定shell变量的一个档案，这个档案有点像是C语言中的include功能一样，把include进来的档案的变量放到现在这个档案中，只是在shorewall的设定档中，并不需要再使用include来引入，params这个档案的目的在于将所有相关的变量都统一设定在里面，当您的规则全都设定好了之后，只要变更params的内容就可以套用在别的网络状态，管理起来非常的方便，以下就是一个例子：

在/etc/shorewall/params中的设定：
NET_IF=eth0 NET_BCAST=130.252.100.255
NET_OPTIONS=blacklist,norfc1918
在/etc/shorewall/interfaces中的设定：
net$NET_IF$NET_BCAST$NET_OPTIONS

这样子的话，其它的规则就都可以使用变量的方式来写，所以说规则只要写一次，就可以重复的使用啰！

2、rules

这个档案是整个shorewall的重点档案，policy档案的目的在于制定整个防火墙政策，比方说loc这个接口对dmz这个接口的政策是REJECT或是ACCEPT等，通常由防火墙外至内部网络的政策都是全部先设定为关闭的。而rules这个档案则是在制定一些【例外】的状况，比方说，您的防火墙将所有的port都给关闭了，以至于从外不能由ssh连结进来，那么这个时候就可以在rules这个档案中来定义，它的格式如下所示：

#ACTIONSOURCEDESTPROTODESTSOURCEORIGINAL
#PORTPORT(S)DEST
DNAT fw loc:192.168.1.3 tcp ssh,http

以上的设定是指转送所有fw防火墙接口的ssh及http的请求至loc的界面，而IP为192.168.1.3的机器上。
在这个档案中有几个较常用到的字段，分别说明如下，其它较少用的字段在此笔者就不多加说明了：

◆字段名称设定项目说明

ACTIONACCEPT允许这个联机的要求。

ACCEPT+和ACCETP一样，但是会排除之后有关REDIRECT-及DNAT-的规则。

DROP：忽略这个联机的请求。

REJECT：不接受这联机的请求，并回复一个icmp-unreachable或是RST的封包给对方。

DNAT：转送这个封包至另一个系统(或是其它的port号)。

DNAT-：只有进阶的使用才会用到，这和DNAT的规则一样，但是只产生DNAT的iptables的规则而且也不是ACCEPT成对的规则。

REDIRECT：重导这个联机的请求到local的另一个埠号中。

REDIRECT-：只有进阶的使用才会用到，这和REDIRECT的规则一样，但是只产生REDIRECT的iptables的规则而且也不是ACCEPT成对的规则。