对所有的Linux系统和网络管理员来说,一个最基本的技巧是知道如何从头开始编写一个强健的iptables防火墙,并且知道如何修改它,使其适应多种不同的情况。然而,在现实世界中,这看起来似乎少之又少。对iptables的学习并非是一个简单的过程,不过笔者在这里向您推荐外网上如下资料,这样使用起来你就得心应手了。
笔者认为所有的管理员都应彻底地理解Iptables,不过,另外一个可选择的方法是运用出色的开源Linux防火墙生成工具。
Firewall Builder
第一个出场的便是Firewall Builder,这是一个完善的多平台的图形化的开源Linux防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计,它将规则设计的细节隐藏起来,而着重于编写策略。不过,不要在你真实的防火墙上运行防火墙生成器,因为它需要X Windows。你需要将其运行在一台工作站上,然后将脚本复制到防火墙上。
Firestarter
第二位是Firestarter,它是一款优秀的图形化的开源Linux防火墙生成向导,它可以引导你一步一步地通过构建开源Linux防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说,这是一个不错的选择,并且在防火墙之后,它还有一些公共服务,或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令,可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上,并远程监视之,或者将其用作一个独立的防火墙。
Shorewall
第三位Shorewall是一个流行的开源Linux防火墙生成器。它比Firestarter更加复杂和灵活,并且它适合用于更加复杂的网络。Shorewall的学习曲线类似于iptables,不过,其文档资料丰富,并且提供提供不同情况的解决方法指南,如单一主机防火墙,两接口和三接口防火墙,以及拥有多个公共IP地址的防火墙等等。你可以获得许多关于过滤P2P服务的帮助,如Kazaa速率限制、QoS(质量服务)、VPN转移归向等内容。
我们向你推荐这三个软件的目的是让广大用户能用上开源Linux防火墙,而不用再花钱购买商业的防火墙软件,后者无论如何不如内置的Linux和Unix包过滤器。用户应该将有限的资金用于购买更高质量的硬件上。
【编辑推荐】