扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在上一篇iptables防火墙配置工具ShoreWall的安装和使用实例中,我们介绍了如何安装和使用ShoreWall工具来进行防火墙配置,在本篇文章中,将给大家介绍它的一些高级组件的使用实例。
一、进阶组件介绍
1、params
这是用来设定shell变量的一个档案,这个档案有点像是C语言中的include功能一样,把include进来的档案的变量放到现在这个档案中,只是在shorewall的设定档中,并不需要再使用include来引入,params这个档案的目的在于将所有相关的变量都统一设定在里面,当您的规则全都设定好了之后,只要变更params的内容就可以套用在别的网络状态,管理起来非常的方便,以下就是一个例子:
在/etc/shorewall/params中的设定: NET_IF=eth0 NET_BCAST=130.252.100.255 NET_OPTIONS=blacklist,norfc1918 在/etc/shorewall/interfaces中的设定: net$NET_IF$NET_BCAST$NET_OPTIONS |
这样子的话,其它的规则就都可以使用变量的方式来写,所以说规则只要写一次,就可以重复的使用啰!
2、rules
这个档案是整个shorewall的重点档案,policy档案的目的在于制定整个防火墙政策,比方说loc这个接口对dmz这个接口的政策是REJECT或是ACCEPT等,通常由防火墙外至内部网络的政策都是全部先设定为关闭的。而rules这个档案则是在制定一些【例外】的状况,比方说,您的防火墙将所有的port都给关闭了,以至于从外不能由ssh连结进来,那么这个时候就可以在rules这个档案中来定义,它的格式如下所示:
#ACTIONSOURCEDESTPROTODESTSOURCEORIGINAL #PORTPORT(S)DEST DNAT fw loc:192.168.1.3 tcp ssh,http |
以上的设定是指转送所有fw防火墙接口的ssh及http的请求至loc的界面,而IP为192.168.1.3的机器上。
在这个档案中有几个较常用到的字段,分别说明如下,其它较少用的字段在此笔者就不多加说明了:
◆字段名称设定项目说明
ACTIONACCEPT允许这个联机的要求。
ACCEPT+和ACCETP一样,但是会排除之后有关REDIRECT-及DNAT-的规则。
DROP:忽略这个联机的请求。
REJECT:不接受这联机的请求,并回复一个icmp-unreachable或是RST的封包给对方。
DNAT:转送这个封包至另一个系统(或是其它的port号)。
DNAT-:只有进阶的使用才会用到,这和DNAT的规则一样,但是只产生DNAT的iptables的规则而且也不是ACCEPT成对的规则。
REDIRECT:重导这个联机的请求到local的另一个埠号中。
REDIRECT-:只有进阶的使用才会用到,这和REDIRECT的规则一样,但是只产生REDIRECT的iptables的规则而且也不是ACCEPT成对的规则。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。