现在LINUX发行版的桌面功能越来越强,越来越好,如FC4,因此有许多朋友都在自己的计算机上安装WINDOWSXP+FC4双系统的,有很大一部份家用计算机上安装某种LINUX发行版大都出于学习的目的,想用家用计算机来提供服务(如WEB服务)的很少。虽然只是使用LINUX来上网学习和一般娱乐用,但在这个黑软泛滥的网络时代,一不小心就给人黑了,由其是那些默认安装的系统。虽然说LINUX相对于WINDOWS来说安全方面要好一些,但一个默认安装的LINUX也存在许多漏洞,比如说默认打开的不安全的服务端口及其它一般用户用不上的网络服务。因此,不管你使用哪一种LINUX发行版,在连网前都要做好防护,而使用防火墙来保护我们的计算机是一个不错的主意,恰恰在任何一种LINUX的发行版都集成了一个强大的防火墙工具:Iptables,下面我就以FC4中的iptables工具来构建一个家用计算机上最基本的防火墙。
在配置防火墙之前,我们应当考虑我们的系统中需要运行哪些服务,以及我们需要什么样的功能。而一般家用计算机上对于一些网络服务如WEB、FTP、TELNET、DNS等是不需要的,我们只需要能浏览网而,下载文件,发送和接收邮件就可以了,下面我们就按此目的来建立一个防火墙。
其过步骤如下:
用根用户身份登录一个SHELL终端,在根提示符下输入如下内容:
iptables -F INPUT #删除所有INPUT链中的已有规则
iptables -F OUTPUT #删除所有OUTPUT链中的已有规则
iptables -F FORWARD #删除所有的FORWARD链中的已有规则
iptables -F RH-Firewall-1-input #在FC4中还应删除此链中的已有规则
#加入以下策略规则,放行所有输出包,禁止所有输入及转发包
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
#允许WEB浏览
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许HTTPS的WEB浏览
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许SMTP发送电子邮件
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#允许接收P0P3邮件
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#允许建立的连接标志(拔号方式必需)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
然后输入如下命令保存我们的防火墙设置到/etc/sysconfig/iptables文件中:
service iptables save
我们可以通过输入:iptables -L 命令来查看设置的防火墙规则。用 (iptables -D chain number)命令来删除防火墙规则,其中为在/etc/sysconfig/iptables文件中的防火墙规则的序号,从1开始,如要删除第一条防火墙规则使用如下命令:
iptables -D INPUT 1
在删除完第一条防火墙规则后下一条就变成第一条防火墙规则了,在删除多条防火墙规则是要特别记住。
这是我们配置的最基本防火墙规则,能防止大部份的网络攻击,但计算机安全也不是用防火墙就能保证万无一失的,要想有一个强大安全的系统,我们还要进行许多其它的设置,如安装LIDS(LINUX入侵检测系统),所以我们不要认为为只要设置有防火墙就可以高枕无忧了。
同样,如果我们还想开放系统中的其它服务,我们可以增加想应的接受规则后保存就可以了。例如想开放SSH服务,增加如下规则:
iptables -A INPUT -p tcp -dport 22 -j ACCEPT
还有,在FC4下或其它LINUX发行版本下可以通过图形化配置工具来设置防火墙,如FC4中的“安全级别”工具。还可以通过安装一些其它的防火墙软件,如Firestarter,来构建我们的防火墙。用什么工具,取决于你的偏好,但我个人认为使用iptables命令设置防火墙即可靠,同时又让我们明白了防火墙过滤的原理,更保况iptables工具本身就是一个非常强大的防火墙工具,为何不用呢!大家说是不是,希望我写下这些对某些朋友有用。
