定制防火墙策略

　　都是2.4.20的内核版本，当然要用netfilter/iptables。由于安装Linux系统的时候，选择了“无防火墙”这个选项，那么在/etc/sysconfig 下将没有iptables这个文件存在。还是让我们随心所欲的来定制防火墙访问策略吧。

　　在目录 /etc/rc.d 下创建脚本文件 myfirewall.sh，用命令 touch /etc/rc.d/myfirewall.sh并给文件执行权限 chmod 711 myfirewall。然后用 vi 编辑这个文件。我写的这个

　　vi /etc/rc.d/myfirewall.sh

　　#!/bin/bash

　　#Define string

　　IPT=/sbin/iptables

　　#Refresh rules

　　$IPT -F FORWARD

　　$IPT -F INPUT

　　$IPT -F OUTPUT

　　#Default policy

　　$IPT -P INPUT DROP

　　$IPT -P FORWARD DROP

　　$IPT -P OUTPUT ACCEPT

　　#Enable loopback

　　$IPT -A INPUT -i lo -p all -j ACCEPT

　　#Enable icmp

　　$IPT -A INPUT -p icmp ?Cj ACCEPT

　　#Interface forward

　　$IPT -A FORWARD -s 192.168.1.0/24 -j ACCEPT

　　$IPT -A FORWARD -d 192.168.1.0/24 -j ACCEPT

　　#Enable ssh

　　$IPT -A INPUT -p tcp --dport 22 -j ACCEPT

　　#Add other access rule //可根据实际情况添加或减少规则

　　$IPT -A INPUT -p tcp --dport 20 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 21 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 80 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 53 -j ACCEPT

　　$$IPT -A INPUT -p udp --dport 53 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 23 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 110 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 25 -j ACCEPT

　　$IPT -A INPUT -p tcp --dport 443 -j ACCEPT

　　规则只开放了较少的允许访问的策略(可以ping ，收发邮件，浏览网页，ssh，https，telnet，ftp，其它的访问则全部丢弃)。$IPT ?CA OUTPUT ACCEPT 没有设置成DROP的原因是由于大部分网络服务所使用的协议是tcp协议，众所周知，tcp协议是面向连接的，如果设置 $IPT ?CA OUTPUT DROP， 那么任何协议为tcp的连接就要写两条了。况且防火墙对外的访问总是允许的，因此这样做是为了简化规则。

　　修改完成后保存，然后在当前目录运行命令 ./myfirewall.sh，在上述脚本没有书写错误的情况下，规则生效，但它仅仅在内存里，用命令 service iptables save 将自动生成文件 /etc/sysconfig/iptables，前面设定的访问策略就被保存到硬盘，系统重启时，系统将自动地从文件 /etc/sysconfig/iptables 获得定制的访问策略。

　　到这里，一个透明的linux 防火墙就架设好了。更改计算机的BIOS设置，使它可以在没有键盘的情况下启动系统。启用ftp，以便可以在需要时可以向防火墙主机拷贝文件。把键盘和显示器拿掉，剩下的操作只是摁一下电源开关。

　　防火墙的管理

　　可能有时候我们需要更改防火墙的某些规则，或者做些别的管理，既然我们是系统管理员，再插上键盘和接上显示器坐在防火墙面前可能会被人耻笑，因此这些管理工作当然通过网络来进行。Ssh和webmin是我的偏好，ssh的协议端口是22，webmin的默认协议端口是10000。其中ssh是linux系统的默认服务 ，只要安装客户端就可以(windows下的程序securecrt 是个不错的选择，据说ssh连接速度没有vnc 快)对防火墙进行所有的管理(和直接操作防火墙主机一样);webmin是基于web的图形界面管理方式，非常的方便和直观，尽管它不能象ssh那样对系统进行完全的管理，但是对于我们的工作需求还是可以满足，建议在防火墙系统安装webmin服务器程序。Ssh与webmin两者结合使用，可以帮助我们较快较深入地掌握Linux。

　　Ssh客户端安装较为简单，而webmin不需要安装客户端。这里介绍webmin 服务器的安装：把webmin-1.110. tar.gz 下载到另外一台windows的硬盘里，然后用ftp把它复制到防火墙主机的ftp目录(如果你是linux高手，并不需要如此，只须以ssh方式登录防火墙，用get/wget指令取得该文件)，解开文件webmin-1.110.tar.gz tar ?Czxvf webmin-1.110.gz.tzr cd webmin-1.110 安装webmin ./setup.sh ，一路回车，创建一个webmin管理账户，安装完毕;在任何一台运行浏览器的地址栏输入防火墙的ip加上端口号10000就可以管理防火墙(http://192.168.1.254:10000)。

　　以这种方式管理linux 网络的防火墙十分直观，并且选项十分详尽，就算不懂iptable语法的人也能容易的配置防火墙的访问规则。这里有一个技巧，假如你更改了某条访问规则导致网络不能向外访问，不要慌，到防火墙跟前重启一下系统即可。万一更改规则发生不测并且规则已经写入硬盘，那么请你直接删除文件 /etc/sysconfig/iptables，然后再运行脚本 sh /etc/rc.d/myfirewall 再次重写文件/etc/sysconfig/iptables service iptables save 。有的系统管理员倾向于直接编辑/etc/sysconfig/iptables 文件，但是这需要更多的耐心和勇气。如果你是新手，建议你跟我一样，先写脚本，再生成iptables。

　　特别关注：

　　最好把除路由器而外的整个网络放在防火墙的保护之中。如果象下图那样有同一

　　网段的主机放在防火墙的前面，将导致严重的网络故障。实践表明，这台windows主机的ip地址丢失了(网络属性的ip值还在，但用命令 ipconfig /all 则是 0.0.0.0)，重启windows后提示ip地址冲突，更换同一网段内的任何一个未用的ip地址还是提示冲突。搞的我的两台邮件服务器和两台web服务器停火，我还以为是中了邪门的病毒，直到后来我把tcp/ip协议卸载再安装才解决问题。经分析，是防火墙的路由导致这样的故障。强烈建议把所有的主机放在防火墙的保护之下，以减少网络的复杂程度。另外，我们应该养成这样一种习惯—在系统正常的情况下，如果更改了配置，请一定要用笔记录所作的更改，以便在改出问题时我们能够快速准确的恢复，这种习惯更可运用到所有的IT管理工作，它是我的不传之密。

　　感谢齐一楠为解决问题提供的无私的帮助!

　　附：区分eth0与eth1的小技巧。把防火墙的一块网卡跟交换机相连，另外一块不做任何连接，即另外一块网卡的网络连接是断开的;使用命令 ifconfig eth0 down 关闭网络接口eth0;用网络中的另一台计算机 ping 192.168.1.254 ，如果ping 通了则表明连接交换机的网络接口为eth1，另一块为eth0，还可以把网线交换一下另一网络接口，确认判断的正确性。