Shorewall—没有X的管理配置iptables
OK,终于搞定了shorewall,更详细讲解请参考xjdong文献—《企业防火墙的完美实现》。
如果您看过了我前两篇的关于在X界面上通过GUI图形工具来配置管理iptables的文章,那么您可能会为服务器没装X-Windows而give
it
up。通过研究了xjdong文献—《企业防火墙的完美实现》,我就以主机托管环境为讲解,碰巧您的机器在联通且没有交纳硬件firewall服务,且希
望通过一种更简洁、更直观的方式管理您自己的防火墙策略。那么今天我推荐的一款“shorewall”也许是您的一个选择。
好与坏,请大家用完后自行评论,本人这里只提供方案。
拓扑图如下:
--------
|router|
--------
|
--------
|switch|
--------
/ \
/ \
----------- ----------
|无firewall| |netscreen|
----------- -----------
| | | | | | | | | |
me
link Internet : eth0
从http:
//官方网站下载最新的rpm包,我这里为shorewall-2.2.5-1.noarch.rpm,http:
//
OS:Redhat9
Kernel:kernel-2.4.21-27.0.2.EL.um.1.i686.rpm
# rpm -ivh shorewall-2.2.5-1.noarch.rpm
# cd /etc/shorewall
# vi shorewall.conf
STARTUP_ENABLED=NO,该成Yes
# vi zones(在最后一行加入如下语句)
net Internet The big bad Internet
loc Local Local Network
dmz DMZ Demilitarized zone.
# vi interfaces(在最后一行加入如下语句)
net eth0 detect
# vi policy(在最后一行加入如下语句)
loc net ACCEPT
net all DROP info
all all REJECT info
# vi rules(在最后一行加入如下语句)
# 外网→本机
AllowSSH net fw
AllowDNS net fw
AllowWeb net fw
AllowFTP net fw
AllowSMTP net fw
AllowPOP3 net fw
DropPing net fw
# 本机→外网
AllowSSH fw net
AllowDNS fw net
AllowWeb fw net
AllowFTP fw net
AllowSMTP fw net
AllowPOP3 fw net
# 如果有一些特殊端口需要打开
ACCEPT net fw tcp 3306
ACCEPT net fw tcp 443
ACCEPT net fw tcp 10000
# shorewall start
# 测试→①ping②scan,具体如图示
Reference:
xjdong文献—《企业防火墙的完美实现》
http://standalone.htm
:
(2005-6-5 01:18, 20.43 K)
:
(2005-6-5 01:17, 23.98 K)
阅读(997) | 评论(0) | 转发(0) |