ShoreWall进阶实用介绍(3)

IPSEC设定是否要对这个网络接口的联机进行加密，如果是空白，就是不需要，如果是yes的话，就会进行加密。

范例：

eth0 eth1 206.124.146.177 tcps mtp
eth0 eth1 206.124.146.176

以上的设定内容是代表所有由eth1的tcp协议的smtp封包，都会把IP的标头设定为206.124.146.177，然后由eth0送出去，然后其余的封包都是将封包的标头设定为206.124.146.176，然后由eth0送出去。

5、modules

这个档案会将所有Iptables所需要的模块都加载进去，预设的内容如下所示：

loadmoduleip_tables
loadmoduleiptable_filter
loadmoduleip_conntrack
loadmoduleip_conntrack_ftp
loadmoduleip_conntrack_tftp
loadmoduleip_conntrack_irc
loadmoduleiptable_nat
loadmoduleip_nat_ftp
loadmoduleip_nat_tftp
loadmoduleip_nat_irc

如果您有其它的模块的话，只要加入modules这个档案即可。

6、blacklist

这个档案是设定联机的黑名单，您可以在这个档案中限制某些网络地址的联机动作
ADDRESS/SUBNET PROTOCOL PORT 　ADDRESS/SUBNET设定所要限制的网络地址，或是子网络及MAC Address，格式分别为下列三种：网络地址：192.168.1.10 子网络：192.168.1.0/24 MACAddress：~00-A0-C9-15-39-78

PROTOCOL可以设定的内容为/etc/protocols的服务内容，这个字段可以选择不设定。

PORT如果在PROTOCOL的部份设定为TCP或是UDP的话，那么在这个选项中就可以设定端口号，或者是服务名称了，这个字段可以选择不设定。

范例：

192.0.2.126 udp 53

上面这行所表示的是封锁由IP192.0.2.126所请求的DNS查询服务。

二、进阶应用介绍

1、开放服务

前面的政策就是将所有由外而内的服务都给封锁掉了，所以现在要一个一个的打开，在此开放HTTP、SMTP、POP3、SSH、DNS、还有一个port10000的Webmin的服务，那么在rules的设定就会如下所示：

ACTION SOURCE DEST PROTO DEST PORT
ACCEPT net fw tcp http
ACCEPT loc fw tcp http

ACCEPT net fw tcp smtp
ACCEPT loc fw tcp smtp

ACCEPTnetfwtcppop3
ACCEPClocfwtcppop3

ACCEPT net fw tcp ssh
ACCEPT loc fw tcp ssh

ACCEPT net fw tcp dns
ACCEPT loc fw tcp dns
ACCEPT net fw udp dns
ACCEPT loc fw udp dns

ACCEPT net fw tcp10000
ACCEPT loc fw tcp10000

以上所有的服务因为都是在这台防火墙中，所以DEST的字段都是设定为fw这个接口，另外因为分别有对内及对外的接口，所以每一个服务都会设定两次，不过也有另外一种设定的方式，如下所示：

2、实例：阻挡MSN

MSN是1863，而MSN连结的网站地址则是为gateway.messenger.hotmail.com。

先挡掉gateway.messenger.hotmail.com的所有tcp连结，在rules的档案中加入以下的记录：

DROPlocnet:gateway.messenger.hotmail.comtcp-

接着再挡掉连结到任何地址的1863端口，

DROP local tcp1863