如何用奔腾机和Linux构建防火墙(2)

　　最简单的情况下，ipchains 只执行三种策略：接受、和拒绝。它能接受来自指定 IP 地址或网络的所有包，否决策略丢弃来自特定地方的所有包。拒绝策略则丢弃来自指定源头的包，并且通知该源头其请求的连接被拒绝.

　　有三类基本的链： 输入链、 正向链和 输出链。输入和输出链分别处理对应于进入和流出接口的包的执行策略。正向链直接将通信量传送给另一机器（在其执行了输入链后）。这里的"另一"机器多数情况下是路由器。ipchains 本身并不希望成为完全的路由引擎，所以它把包转交给本机上的真正的软件路由器或者另一节点上的硬件路由器。完整的ipchains引擎处理流程图如下所示：

　　防火墙是可以那些能够操纵输入数据流和选择可流出数据流的设备的通称。在执行过程中，它可能会改变输入或输入数据流的状态，以此隐藏机器的具体信息或防止非法入侵。

　　ipchains 有两种运行方式：代理服务器和网络地址转换器。前者接收来自受防火墙保护的网络内部机器的数据流，使用用户定义的规则对其进行过滤处理，然后发送给外部网络。总之，内部哪些机器可以访问外部网络是由代理服务器控制的，反之亦然。

　　当您没有足够的网络地址，或者不愿对您的内部网络使用公共因特网址时，可以采用网络地址转换器 (NAT) 或是 IP 屏蔽 (Masqing) 的方法。它能把内部私有的地址转换成合法的公共地址，即将多个内部地址映射成唯一的外部地址。这样就不能从外部网络上直接访问到内部网络的某个机器，从而达到保护内部机器的目的。

　　安装防火墙

　　把一台 linux 机器配置成防火墙不是那么容易的。您应该重新安装稳定的 Linux 版本（即并非最新最强大的版本，可以试试 2.2.12），而不是转变已有的 Linux 机器。在安装过程中，最好只安装那些最基本的系统组件。除非不得已的情况，一般不要安装网络服务器、NFS服务器或者编译程序等其他组件，甚至不能运行Telnet服务器。如果您必须通过网络登录到本机，那就安装"SSH Secure Shell" (ssh) 远程登录系统吧。总之需要记住，防火墙永远不应该执行除了处理包和网络安全之外的任务。