ShoreWall进阶实用介绍(2)

CONTINUE：专家模式专用，对于这里所定义的来源及目的端的请求就会被pass通过。

LOG：简单的记录封包信息

QUEUE：将这个封包伫放在使用者的应用程序中。

<action>;定义在/etc/shorewall/actions或是/usr/share/shorewall/actions.std中的动作。

SOURCE：来源地址，格式可设定以下几种样式：loc、net(在zones档案中所定义的接口)192.168.1.1(IP格式)192.168.1.0/24(子网络格式)

loc:192.168.1.1loc:192.168.1.0/24loc:192.168.1.1,192.168.1.2loc:~00-A0-C9-15-39-78(MACAddress)

DEST：目的地址，设定的方式和SOURCE一样，但是如果SOURCE设定为all时，则有以下的限制：并不允许使用MACAddress在DNAT的规则中只允许使用IPAddress不可同时使用interface及IP
PROTO：必需是tcp、udp、icmp或是all，或者是数字。

DESTPORT(S)：目的端的端口号，可用数字或名称，在设定这个字段时，可以用逗号(,)来建立多个端口号清单，也可以用一整个范围的埠号(1024:2048->;意思是从1024到2048之中所有的端口号)来建立清单。

CLIENTPORT(S)：客户端的埠号，这个字段可以忽略掉。

3、nat

这个档案主要是用来定义one-to-one型式的NAT，所谓的"one-to-one"是代表说一个真实IP将所有的服务都转向内部的一个虚拟IP，所以通常是一个真实的IP就【只能】指向一个虚拟的IP，这通常是用在当这台NAT主机是只有跑防火墙服务，然后所有提供外部服务的主机都是藏在内部虚拟IP的状况下，在一般的情况下比较少用到这个档案，如果想要使用forward或是DNAT的功能的话，就不能使用这个档案来设定，必需去设定rules这个档案才行，有关于nat的设定内容如下所示：

#EXTERNALINTERFACEINTERNALALLLOCAL
#INTERFACES
x.x.x.x eth0192.168.1.23

EXTERNAL设定此台服务器所要对外的【真实IP】。

INTERFACE设定此台服务器的对外网络网卡接口名称。

INTERNAL设定想将此真实IP转向内部的虚拟IP地址。

ALLINTERFACES如果不想同时套用到其它的网络接口时，请在此设定为no，如果为空白的话，就只会套用到这个界面。

LOCAL如果这个选项设定为Yes或yes，还有ALLINTERFACES也被设定为Yes或yes的话，那么由EXTERNAL传送至INTERNAL的封包就会被限制在内部，要开启这个功能的话，核心版本必需要在2.4.19以上，并且要确认开启CONFIG_IP_NF_NAT_LOCAL的功能，

4、masq

这个档案是用来架设一般所谓的NAT服务器，masq设定的内容如下所示：

#INTERFACESUBNETADDRESSPROTOPORT(S)IPSEC
eth0 eth1 206.124.146.176
#LASTLINE--ADDYOURENTRIESABOVETHISLINE--DONOTREMOVE

INTERFACE设定负责对外部网络的接口名称。

SUBNET设定负责对内部网络的接口名称。

ADDRESS设定负责对外部网络的IP地址，这个选项可以不设定。

PROTO在此您可以设定的内容为/etc/protocols的服务内容。

PORT(S)如果在PROTO的部份设定为TCP或是UDP的话，那么在这个选项中就可以设定端口号，或者是服务名称了。