随心订制linux透明防火墙(4)

　　Ssh客户端安装较为简单，而webmin不需要安装客户端。这里介绍webmin 服务器的安装：把webmin-1.110. tar.gz 下载到另外一台windows的硬盘里，然后用ftp把它复制到防火墙主机的ftp目录（如果你是linux高手，并不需要如此，只须以ssh方式登录防火墙，用get/wget指令取得该文件），解开文件webmin-1.110.tar.gz tar –zxvf webmin-1.110.gz.tzr cd webmin-1.110 安装webmin ./setup.sh ，一路回车，创建一个webmin管理账户，安装完毕；在任何一台运行浏览器的地址栏输入防火墙的ip加上端口号10000就可以管理防火墙(http: //192.168.1.254:10000)。

　　以这种方式管理linux 网络的防火墙十分直观，并且选项十分详尽，就算不懂iptable语法的人也能容易的配置防火墙的访问规则。这里有一个技巧，假如你更改了某条访问规则导致网络不能向外访问，不要慌，到防火墙跟前重启一下系统即可。万一更改规则发生不测并且规则已经写入硬盘，那么请你直接删除文件 /etc/sysconfig/iptables，然后再运行脚本 sh /etc/rc.d/myfirewall 再次重写文件/etc/sysconfig/iptables service iptables save 。有的系统管理员倾向于直接编辑/etc/sysconfig/iptables 文件，但是这需要更多的耐心和勇气。如果你是新手，建议你跟我一样，先写脚本，再生成iptables。

　　特别关注：

　　最好把除路由器而外的整个网络放在防火墙的保护之中。如果象下图那样有同一

　　网段的主机放在防火墙的前面，将导致严重的网络故障。实践表明，这台windows主机的ip地址丢失了（网络属性的ip值还在，但用命令 ipconfig /all 则是 0.0.0.0），重启windows后提示ip地址冲突，更换同一网段内的任何一个未用的ip地址还是提示冲突。搞的我的两台邮件服务器和两台web服务器停火，我还以为是中了邪门的病毒，直到后来我把tcp/ip协议卸载再安装才解决问题。经分析，是防火墙的路由导致这样的故障。强烈建议把所有的主机放在防火墙的保护之下，以减少网络的复杂程度。另外，我们应该养成这样一种习惯—在系统正常的情况下，如果更改了配置，请一定要用笔记录所作的更改，以便在改出问题时我们能够快速准确的恢复，这种习惯更可运用到所有的IT管理工作，它是我的不传之密。

　　附：区分eth0与eth1的小技巧。把防火墙的一块网卡跟交换机相连，另外一块不做任何连接，即另外一块网卡的网络连接是断开的；使用命令 ifconfig eth0 down 关闭网络接口eth0；用网络中的另一台计算机 ping 192.168.1.254 ，如果ping 通了则表明连接交换机的网络接口为eth1，另一块为eth0，还可以把网线交换一下另一网络接口，确认判断的正确性。