如何用奔腾机和Linux构建防火墙(1)

　　老式奔腾机并不只是堵门搁脚的垃圾，它们仍可用来计算！实际上，一个装有 32MB 内存和 200-400MB 硬盘的的小机器就可以胜任小型办公网络防火墙的任务。 Linux 的紧凑版本只含有重要的系统应用程序，而没有图形用户接口和用户应用程序。安装了紧凑版本的 Linux 之后，您就可以漂亮地把老机器变成防火墙了。

　　完成这些只需要一个叫 ipchains的公开源码的软件包，它是由 Paul "Rusty" Russell 提供的。这个软件具备了许多商业防火墙产品的特征：允许自定义网络通信量的流向，及哪些访问者可以获准进出。

　　早期的 ipfwadm (IP Firewall Administration) 可以运行在 2.0.X 及更低的版本的 Linux 上。后来 ipchains 取代了 ipfwadm，且能工作在所有 2.1.x 和 2.2.x 版本的 Linux 下。随着内核升级，它还将升级到 2.3.x 下的 netfilter 或其他更高版本。这么频繁更新的原因在于，防火墙的数据包过滤是基于内核本身的，因此防火墙软件就必须亦步亦趋地紧随内核变动。本文讨论了 ipchains 是什么，它能做什么以及如何应用于不同场合。

　　Ipchains 和防火墙

　　ipchains 本质上是包过滤器。它检查到达网络接口的 IP 包，根据事先定义好的规则进行修改，然后再转发给其它接口。

　　每个 IP 包都含有报头 ( header)，里面含有该包的目的地、及如何处理等控制信息（参见下图）。需要传送的数据则放在有效段（或称为包体）中。通常情况下，有效段可以包含更高一级的包。例如，一个 TCP 包就总是包含于 IP 包的有效段中，该 TCP 包拥有自己的报头和有效段。我们将会看到，ipchains 软件可以改变 IP 报头、TCP 报头、UDP 报头(未显示)和 ICMP 报头内的一些域值.

　　ipchains 的名称来自其工作特点。它能够创建合理过滤步骤，根据用户定义的规则来处理包。这些步骤被"链接"在一起来创建包处理的完整规则体系。这个处理"链条"可以与具体的 IP 地址，或者网络地址相结合。如下所示，系统中可以有很多这样的"链条"来处理每个进入的 IP 包:

　　运行 ipchains 的机器可以拥有许多网络接口，每个接口都连接在不同的网络上。任何可用的防火墙至少应有两个独立的接口，一个连到内部网络，另一个连到外部网络。数据包从一个接口进入，经由过滤"链条" 传给另一个接口。