Linux免费防火墙试用手记(2)

　　使用的命令

　　对于Linux路由器来说，我们使用的其实只是内核中IP地址转发和防火墙部分。所以你根本不需要额外的软件，只需要一些命令脚本，为路由器在处理收到的数据包时所做的反应定一些规则。这其中包括一系列输入、输出和转发方面的规则。

　　输入方面的规则要调整流入的数据包，比如，如果运行的是Web服务器，那么你可能想使用端口80来接收流入的数据包。输出方面的规则定义路由器是否允许数据被送到Internet，这常被用于拒绝与一些特定站点的连接（通过IP地址）。转发方面的规则，用于控制数据包从一个地方转发到另一个地方；通过在网络里定义特定的子网并且设置规则只允许一些子网可以转发信息，从而达到限制Internet访问的目的。

　　设置过程

　　在我所使用的Red Hat7 Linux路由器里，要管理防火墙的行为，我使用ipchains来设置规则（在Red Hat 6或者更早的版本里使用ipfwadm）。对于一些其它的Linux发行版，虽然名字可能不一样，但是功能却是完全一样的（比如，FreeBSD中要使用 ipfw）。在不同的发行版本中，防火墙命令的语法会有一些细微的差别（对于这些差别，可以用man命令来查看），不过，只要熟悉了其中一个版本中的配置，其它版本中的配置都是类似的。防火墙配置的管理最好的办法就是使用在系统启动过程中会调用的脚本。

　　对于我例子中的脚本，我做如下说明：

　　1． 我的路由器中有两个网卡（NIC），分别是eth0和eth1。

　　2． eth0通过HUB连接到LAN，并且在192.168.1.0/24的网络中（24指的是子网）。

　　3． eth1连接在线缆或者DSL调制解调器上，并且使用的IP地址是由ISP提供的207.1.1.1。

　　默认情况下，Linux路由器会接收并且送出所有的信息，这相当于和下面一系列的命令等价：

　　ipchains -F

　　ipchains -P input ACCEPT

　　ipchains -P output ACCEPT

　　ipchains -P forward ACCEPT

　　在本例中：

　　* -F选项会重置所有规则，去除所有规则，然后重新开始配置。

　　* -P选项告诉防火墙使用默认的规则，直到有新的规则对其进行改变。事实上，如果只使用默认规则，路由器将很容易受到攻击。

　　从关到开