随心订制linux透明防火墙(3)

　　Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。

　　具体设置如下。

　　(1)刷新所有规则/sbin/ipchains -F forward

　　/sbin/ipchains -F input

　　/sbin/ipchains -F output

　　(2)设置初始规则/sbin/ipchains -A input -j ACCEPT

　　/sbin/ipchains -A output -j ACCEPT

　　/sbin/ipchains -A forward -j ACCEPT

　　(3)设置本地环路规则/sbin/ipchains -A input -j ACCEPT - i lo

　　/sbin/ipchains -A output -j ACCEPT - i lo

　　本地进程之间的包允许通过。

　　(4)禁止IP欺骗/sbin/ipchains -A input -j DENY

　　- i ech1 - s 192.168.100.0/24

　　/sbin/ipchains -A input -j DENY

　　- i ech1 - d 192.168.100.0/24

　　/sbin/ipchains -A output -j DENY

　　- i ech1 - s 192.168.100.0/24

　　/sbin/ipchains -A output -j DENY

　　- i ech1 - d 192.168.100.0/24

　　/sbin/ipchains -A input -j DENY

　　- i ech1 -s 202.101.2.25/32

　　/sbin/ipchains -A output -j DENY

　　- i ech1 -d 202.101.2.25/32

　　(5)禁止广播包/sbin/ipchains -A input -j DENY

　　- i ech0 - s 255.255.255.255

　　/sbin/ipchains -A input -j DENY

　　- i ech0 - d 0.0..0.0

　　/sbin/ipchains -A output -j DENY

　　- i ech0 - s 240.0.0.0/3

　　(6)设置ech0转发规则/sbin/ipchains -A forword -j MASQ

　　- i ech0- s 192.168.100.0/24

　　(7)设置ech1转发规则/sbin/ipchains -A forword -j ACCEPT

　　- i ech1- s 192.168.100.0/24

　　/sbin/ipchains -A forword -j ACCEPT

　　- i ech1- d 192.168.100.0/24

　　将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了。

　　通过以上各步骤的配置，我们可以建立一个基于Linux操作系统的包过滤防火墙。它具有配置简单、安全性高和抵御能力强等优点，特别是可利用闲置的计算机和免费的Linux操作系统实现投入最小化、产出最大化的防火墙的构建。另外，如果在包过滤的基础上再加上代理服务器，如TIS Firewall Toolkit 免费软件包（http://www.fwtk.org)，还可构建更加安全的复合型防火墙。