Linux免费防火墙试用手记(1)

　　作为一个网管，为了保护你的网络，你可以花数万元来对流入流出的信息进行控制，也可以分文不花而达到同样的目的。听起来是不是觉得不太可能？下面就让我们来试一试吧！不试怎么知道行不行呢？24小时在线的宽带Internet连接的优点是显而易见的，它快速、便宜、方便。不过，它潜在的危险相对来说，则不易为人们所注意。事实上，如果没有合适的保护，这种不间断的连接将使你公司的服务器和数据时刻处于危险之中。一个带有防火墙功能的路由器可以有效地消除这些危险。你可以花很多的钱去买一个路由器，也可以把钱省下来，完全使用Linux内建的路由和防火墙的功能来达到目的。在很多情况下，你甚至可以把你的Linux服务器同时作为路由器使用。不过，如果你的Web站点信息流量很大的话，最好使用一台PC来单独完成这项任务。

　　使信息可进可出

　　有时，你可能想让路由器限制内部网中特定的PC，使其无法从Internet访问，不过，更多时候，你会让Linux路由器阻止一些不速之客的访问。在使用DSL或者线缆连接时，一般都使用一个HUB，将其中一个端口连到Internet。这种情况下，只要是能够连接到HUB上的人，就可以使用一些很容易得到的软件，对流过你站点的数据进行监听，甚至可以直接访问你的网络资源。

　　为此，我们可以关闭Telnet和FTP等容易被居心叵测者所监听的服务。这显然可以保证网络免于被入侵的威险，但是一般来说，公司都会用得上这些服务。也就是说，公司的业务一般要求路由器即要有安全性，又要让信息能够顺畅地流入流出。所以，你应该做的是有选择性的限制对这些服务的访问，而不是完全关闭它们。一旦你建立好了合适的配置脚本，Linux路由器/防火墙就会为你完成这些工作。

　　服务、端口和协议

　　一般来说，e-mail或者Web等Linux服务器，都必须可以被外部网所能访问。对于这种类型的通信，一些行业的标准端口常被用于帮助定义这些服务。比如，Web服务器一般使用80端口，SMTP（用于电子邮件服务）一般使用25端口等等。服务器里运行的服务以及其使用的端口，可以在/etc/services文件里找到。

　　（这是我一台Linux机器上的services文件内容）

　　此外，你还要清楚路由器应该使用什么协议。以太网的协议种类很多，不过最常用的是TCP和UDP协议。（机子所使用的协议可以在/etc/protocols中找到）。