Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3178678
  • 博文数量: 797
  • 博客积分: 10134
  • 博客等级: 上将
  • 技术积分: 9335
  • 用 户 组: 普通用户
  • 注册时间: 2006-06-22 22:57
个人简介

1

文章分类

全部博文(797)

文章存档

2022年(1)

2021年(2)

2017年(2)

2016年(1)

2015年(4)

2014年(1)

2013年(6)

2012年(6)

2011年(10)

2010年(26)

2009年(63)

2008年(61)

2007年(51)

2006年(563)

我的朋友

分类: LINUX

2006-07-20 10:25:24

Shorewall—没有X的管理配置iptables

OK,终于搞定了shorewall,更详细讲解请参考xjdong文献—《企业防火墙的完美实现》。

如果您看过了我前两篇的关于在X界面上通过GUI图形工具来配置管理iptables的文章,那么您可能会为服务器没装X-Windows而give it up。通过研究了xjdong文献—《企业防火墙的完美实现》,我就以主机托管环境为讲解,碰巧您的机器在联通且没有交纳硬件firewall服务,且希 望通过一种更简洁、更直观的方式管理您自己的防火墙策略。那么今天我推荐的一款“shorewall”也许是您的一个选择。

好与坏,请大家用完后自行评论,本人这里只提供方案。

拓扑图如下:

CODE:
             --------
             |router|
             --------
                 |
             --------
             |switch|
             --------
              /    \
             /      \
  -----------     ----------
  |无firewall|    |netscreen|
  -----------     -----------
   | | | | |       | | | | |
  me
link Internet : eth0
从http: //官方网站下载最新的rpm包,我这里为shorewall-2.2.5-1.noarch.rpm,http: //

OS:Redhat9  
Kernel:kernel-2.4.21-27.0.2.EL.um.1.i686.rpm

# rpm -ivh shorewall-2.2.5-1.noarch.rpm
# cd /etc/shorewall
# vi shorewall.conf

CODE:
STARTUP_ENABLED=NO,该成Yes
# vi zones(在最后一行加入如下语句)

CODE:
net     Internet        The big bad Internet
loc     Local           Local Network
dmz     DMZ             Demilitarized zone.
# vi interfaces(在最后一行加入如下语句)

CODE:
net   eth0  detect
# vi policy(在最后一行加入如下语句)

CODE:
loc             net             ACCEPT
net             all             DROP            info
all             all             REJECT          info
# vi rules(在最后一行加入如下语句)

CODE:
# 外网→本机
AllowSSH   net  fw
AllowDNS   net  fw
AllowWeb   net  fw
AllowFTP   net  fw
AllowSMTP  net  fw
AllowPOP3  net  fw
DropPing   net  fw

# 本机→外网
AllowSSH   fw   net
AllowDNS   fw   net
AllowWeb   fw   net
AllowFTP   fw   net
AllowSMTP  fw   net
AllowPOP3  fw   net

# 如果有一些特殊端口需要打开
ACCEPT net  fw   tcp  3306
ACCEPT net  fw   tcp  443
ACCEPT net  fw   tcp  10000
# shorewall start
# 测试→①ping②scan,具体如图示

Reference:
xjdong文献—《企业防火墙的完美实现》
http://standalone.htm


: (2005-6-5 01:18, 20.43 K)



: (2005-6-5 01:17, 23.98 K)

阅读(997) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~