Linux下的防火墻(firewall)從誕生到現在，防火墻主要經歷了四個發展階段:第一階段:基于路由器的防火墻;第二階段用戶化的防火墻工具套;第三階段:建立在通用操作系統上的防火墻;第四階段:具有安全操作系統的防火墻。目前世界上大多數防火墻供應商提供的都是具有安全操作系統的軟硬件結合的防火墻，象著名的NETEYE、NETSCREEN、TALENTIT等。在Linux操作系統上的防火墻軟件也很多，有些是商用版本的防火墻，有的則是完全免費和公開源代碼的防火墻。大多數Linux教程都提到了如何在Linux平臺中使用IPCHAINS來構筑防火墻。設置和管理Linux操作系統中的防火墻是網絡系統管理員的重要工作。

　　有沒有能隨身攜帶的，使用方便的Linux防火墻呢?答案是有的，現在我就向大家介紹一種能裝在普通軟盤里面的Linux防火墻。這套名字叫floppyfw的Linux防火墻能存放在一張普通的軟盤里，并獨立的在RAM內存中運行。使用它能啟動計算機，利用ipchains過濾掉無用的IP包，還可以使用它來配置IP偽裝(IP masquerade),監視端口，通過它可以使用主機對其他網絡中的計算機進行遠程控制。Floppyfw功能十分強大，但是它運行所需要的硬件環境卻非常低，除了需要一張軟盤之外，只要8MB的內存就足夠了。

　　Floppyfw需要的最的硬件設備如下: 最少8MB內存3.5"軟驅顯示卡鍵盤顯示器

　　有的Linux系統中裝兩塊網卡，能使得Floppyfw正常工作，這就需要每一塊網卡的IRQ和內存地址都正確無誤。在Linux系統中配置雙網卡相信很多系統管理員都是輕車熟路的。

　　Floppyfw支持以下的網卡。 3Com 3c509 NE2000 compatibles Tulip-based Intel EtherExpress PCI

　　關于軟件:

　　把Floppyfw做成一張可以引導的軟磁盤是一件非常簡單的事情。不過你要首先到http://www.zelow.no/floppyfw/download/ 把Floppyfw下載到計算機的硬盤上。Floppyfw最新的版本應該是1.0.5或者更高，Floppyfw是一個鏡像文件，可以使用 # dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k

　　這個命令把鏡像文件解壓并寫到準備好的軟盤上。

　　關于設置:

　　需要注意的是，一般的軟盤格式化以后都是DOS(FAT)的格式。為了能順利的啟動Linux系統，我們需要在這張軟盤上作一些修改。建議使用其他的計算機來修改這張軟盤，如果在Linux系統中使用MTOOLS工具修改則更好。

　　使用命令如下: $ cd /tmp$ mcopy a:config$ vi config$ mcopy config a:

　　如果你使用的是其他的操作系統，我想在WINDOWS中可以使用記事本進行修改。在軟盤中，我們可以看到floppyfw一共有5個文件: config (主配置文件) firewall.ini (過濾規則) modules.lst (附加的 ip_masq 模塊) sysLinux.cfg (內核啟動參量) syslog.cfg (syslog 配置, 例如/etc/syslog.conf)

　　在一般情況下，我們不需要修改sysLinux.cfg或者modules.lst文件。我們主要的任務就是要修改config這個文件。為了簡單明了的說明問題，我在這里不想過多的解釋config這個文件里面的具體的配置清單，只是著重說明config文件末尾幾個重要的事項。

　　在(/bin/ash) 找到"OPEN_SHELL controls shell"這行文字，如果您的計算機的內存少于12MB，把ONLY_8M設置成"Y"。USE_SYSLOG能測定系統中syslogd是否運行，而 SYSLOG_FLAGS則是判斷syslogd啟動的標志。用戶可以根據自己的實際情況進行修改。

　　附錄:配置清單一，這是一個通過測試的標準配置清單。由于這個Linux系統中沒有提供DHCP服務，使用的靜態的IP，所以僅供有相似服務的用戶提供參考。點擊這里下載清單一

　　關于過濾規則:

　　現在，讓我們再來看看firewall.ini文件。沒有修改之前的floppyfw 的firewall.ini文件默認設置了靜態的IP偽裝和拒絕一些固定端口的訪問。因為我們需要建立自己的防火墻，所以我們需要對 firewall.ini文件進行修改。我們需要全面的設置過濾規則，關閉一些我們認為存在前在危險的端口。

　　在這里因為篇幅的關系我就不再講解如何設置ipchains。如果您想知道更詳細的ipchains的配置方案和具體使用方法，推薦您參考以下的這個國外的Linux防火墻ipchains配置方案。

　　Firewall.ini 的過濾規則的具體設置可以參考配置清單二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)，這是一個已經修改好了的配置。如果你對Linux的防火墻不太熟悉，那么可以直接下載這個配置清單來進行參考或者直接使用。

　　清單二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服務，一般的客戶端計算機都可以通過安全的端口訪問網絡和使用以上的服務。

　　關于LOG

　　一般的Linux系統中的LOG文件可不少，主要是記錄系統運行中的一些主要參數和記錄。上面已經說過了，syslog.cfg就是一個管理和記錄LOG 的文件。Floppyfw能通過這個syslog.cfg文件記錄下Linux防火墻系統<

【 頂部 】 【 關閉 】