iptables配置工具比较(3)

　　chain fw_udp proto udp {

　　DENY log;

　　}

　　chain fw_icmp proto icmp {

　　icmptype (

　　destination-unreachable time-exceeded

　　) ACCEPT;

　　DENY log;

　　}

　　-----------------------------------------------------------------------------

　　这个配置文件将使ferm产生iptables如下规则：允许向外的ssh和DNS报文通过；阻塞所有的UDP报文；只允许两种类型的ICMP消息通过：目的不可达和超时，并绝拒绝和日志其它类型的ICMP消息。

　　AGT

　　AGT是一个使用C语言编写的程序。从它的代码来看，目前还处于开发阶段。不支持automake，需要手工编辑Makefile文件，文档也不是很丰富，但是其配置文件非常简单。下面就是一个配置文件：

　　NEW | FROM-INT

　　NEW | RESET

　　|| FROM-INT | icmp | ACCEPT |||||

　　|| FROM-INT | tcp | ACCEPT ||||| pop3

　　|| FROM-INT | tcp | ACCEPT ||||| imap

　　|| RESET | tcp | REJECT --reject-with tcp-reset |||||

　　这样的文件格式，加上缺乏必要的文档，对使用者来说是一个很大的挑战。而且最好多花些时间学学iptables。

　　knetfilter

　　knetfilter是一个非常棒的图形化iptables配置工具，它是基于KDE的(有KDE1和KDE2两个版本)。knetfilter非常易于上手，你可以很容易地使用它来配置基于主机保护的规则和规则列表；保存和恢复测这些规则和规则列表；测试规则和规则列表(在同一个面板上运行 tcpdump网络嗅探器)，这一切只要点几下鼠标就可以了。它也支持NAT和网络地址伪装的配置。但是，对于拨号工作站，knetfilter工作的不太好，因为它需要本地IP，而且只探测eth0网络接口，不进行PPP探测。这个工程的文档也很少，不过因为是基于图形界面，所以即使不用手册也可以很好地使用。

　　gShield

　　gShield是一个bash shell脚本，可能是当前最成熟的一个工具。它的文档非常丰富，配置文件也比较合理直观，还能够设置NAT。它不但能够处静态IP地址，还能够处理动态IP地址(例如：PPP)。

　　gShield还有图形界面，目前仍然处于早期开发阶段，可以从http://members.home.com/vhodges/gshieldconf.html下载。不过，它似乎只兼容gShield的早期版本(1.x)。

　　下面是一个示例配置文件：

　　FW_ROOT="/etc/firewall"

　　IPTABLES=`which iptables`

　　LOCALIF="eth0"

　　DNS="24.31.195.65"

　　LTIME="20/m"

　　ALLOW_DHCP_LEASES="YES"

　　...

　　gShield使用的默认配置非常安全，特别适合不愿意摆弄配置文件的用户，不过软件的编者建议用户最好能够通读整个配置文件。据README文件讲，gShield实现了"类tcpwrapper风格的服务访问控制功能"，使用这个功能用户可以很容易地阻塞/允许某项服务，而不必考虑报文方向之类的问题，只要关心什么客户连接到服务器就可以了。

　　结论

　　虽然本文介绍了一些防火墙配置工具，但是实际上目前还没有理想的配置工具。最好的配置工具还是iptables命令，这里介绍的这些工具，只适用于对于使用iptables命令行感觉困难的用户。