如何用奔腾机和Linux构建防火墙(4)

　　echo "0" >/proc/sys/net/ipv4/ip_dynaddr

　　/sbin/ipchains -X

　　/sbin/ipchains -F

　　/sbin/ipchains -P input ACCEPT

　　/sbin/ipchains -P output ACCEPT

　　/sbin/ipchains -P forward ACCEPT

　　echo "."

　　;;

　　*)

　　echo "Usage: /etc/rc.d/init.d/packetfilter {start|stop}"

　　exit 1

　　;;

　　esac

　　exit 0

　　在要从不同级别执行包过滤服务之前，您得建立符号链接。网络已经启动的情况下,首先确认包过滤器已运行在初始级别2和3下。

　　# ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc2.d/S09packetfilter

　　# ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc3.d/S09packetfilter

　　以上两条命令建立了符号链接，从而保证在 Red Hat Linux 的网络有效前启动包过滤器。某种网络服务的名称应该类似于 SXXnetwork，其中的 "XX" 指定了该服务的启动次序。请选择一个其他启动脚本内未指定的，比所有网络服务启动次序号都低的"XX"。上面的例子中，网络启动脚本命名为 "S10network" 。

　　类似的,在网络服务关闭后也应该停止包过滤器的符号连接。该例子中,网络接口关闭位于脚本 K90network，因此包过滤器脚本链接为 K91packetfilter。

　　# ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc0.d/K91packetfilter

　　# ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc1.d/K91packetfilter

　　最后，在 Red Hat 系统中，您务必确保文件 /etc/sysconfig/network 中含有下列条目：

　　FORWARD_IPV4="yes"

　　一旦重新启动机器，包过滤器就启动了。到目前为止，您还没有制定任何过滤规则。下面我们将继续这个规则设置步骤。

　　配置防火墙

　　如果您用了防火墙，就可以使用公共因特网上无效的某段网址，或者用 NAT 。这样，主干网的主要路由器将视那些来自私人地址的包为非法而予以丢弃。这些段址已经定义并在文献 RFC 1918列举出来（参看表 1）。这样的段址共有三套，但对于绝大多数公司来说，192.168.0.0 就足够了。在下面的例子中我们也将采用这套段址。

　　表 1: 分配给私有网络的 IP 地址

　　起始地址 结束地址 CIDR 段址前缀 地址数目

　　10.0.0.0 10.255.255.255 10.0.0.0/8 ~ 16,000,000

　　172.16.0.0 172.31.255.255 172.16.0.0/12 ~ 4,000,000

　　192.168.0.0 192.168.255.255 192.168.0.0/16 ~ 65,000

　　您的内部网的全部机器都应该用这些给定地址范围来标识。比如 192.168.1.22 防火墙的内部接口应占用第一个地址 192.168.0.1。以 .0.0、.0、.255 和 .255.255 结尾的是系统保留地址，所以不要把他们分配给任何机器。在起始地址和结束地址范围之内的其他 IP 地址可按个人喜好分配.

　　下面的例子包括四个台式机和四个服务器。名为 stranger的台式机禁止进入防火墙保护的内部网络，而 familiar则可以。名为 Freedom的服务器位于公司内部网络，但不受防火墙保护，这对向公开的网站来说是常见的。分配给这些机器的网络地址是随便给定的，但是它们被划分成不同的网络地址集合 (192.168.x.x 分配给防火墙内部网， 216.19.15.x 分配给防火墙外部但仍处于公司内部的网络, 198.102.x.x 指的是公共因特网址)。