简易防火墙建置与流量统计(8)

8. 使用webmin 管理 ipchains

看了上述的说明或许读者会感到十分困难，其实我们也可以使用 webmin 的 Third Party Modules 中 IPchains Firewalling 来管理，如下图所示：

其中有 Disable, Low, Medium, High, Full 五个安全等级，或者可自定规则，如下图所示：

9. 流量统计

http://www.ntop.org/ 是一个网络使用状况监测软件，在互动式模式下，ntop 会将网络的使用状况显示在使用者的终端机画面上。在 Web 模式中，ntop 会像 Web Server 一样产生出内含网络使用状况的网页传回到使用者的浏览器上。在 RedHat 7.0 powertools 中有 ntop-1.3.1.-2.i386.rpm，所以在 RedHat 7.0 下使用

rpm -ivh ntop-1.3.1.-2.i386.rpm

安装，然后用 ntop -d 执行即可，执行 web 输出画面如下：(笔者使用的是 1.1 版)

10. 流量记录

Snort (http://www.snort.org)是一个精巧的网络入侵侦测软件(IDS)。具有执行即时流量分析与封包纪录功能的特性，提供了协定的分析，封包内容的搜寻。可用来侦测各种不同的攻击与调查 (如 buffer overflows，stealth port scans，CGI attacks，SMB probes，OS fingerprinting attempts 等等)。Snort 使用 flexible rule based language 来设定那些流量应该被收集，那些应该放行。他也具有模组化的侦测引擎。Snort 具有即时警告的特性，其警告的机制可使用 syslog，使用者自订的档案，UNIX socket 或是使用 Samclient 传递 WinPopup 讯息给 Windows client 端的使用者。(取自 LinuxFAB.cx)

取得 snort-1.6.3.tar.gz ，然后执行下列步骤安装：

tar xvfz snort-1.6.3.tar.gz
cd snort-1.6.3
./configure
make
make install

在此笔者只介绍封包纪录功能，其他功能日后再述。假定我们要将记录档至于首页上可以执行 snort -C -d -D -l /home/httpd/html/snort，结果如下：

当然笔者有作一些安全上的管理，否则所有网络的机密便曝光了，况且因为记录所有资料所以档案会长的很快，所以如果你真要如此记录，请注意控制的细节。底下我们再深入看看。

看到 USER 了吗？接下来当然是 PASS …….

11. 结论：

看到了这里相信大家对 ipchains 的使用应该有进一步的认识，ipchains 的功能实在是很强大，无法去说的很彻底，有些小地方要靠读者去体会才行。另外由 ntop, snort 可以看出网络是如何不安全性，也希望所有网管人员要多重视。