軟盤裡的Linux防火牆(轉)

軟盤裡的Linux防火牆(轉)[@more@]

　　Linux 下的防火牆(firewall)從誕生到現在，防火牆主要經歷了四個發展階段：第一階段：基於路由器的防火牆；第二階段使用者化的防火牆工具套；第三階段：建立在通用作業系統上的防火牆；第四階段：具有安全作業系統的防火牆。目前世界上大多數防火牆供應商提供的都是具有安全作業系統的軟硬體結合的防火牆，象著名的NETEYE、NETSCREEN、TALENTIT等。在Linux作業系統上的防火牆軟體也很多，有些是商用版本的防火牆，有的則是完全免費和公開原始碼的防火牆。大多數Linux教程都提到了如何在Linux平臺中使用IPCHAINS來構築防火牆。

　　設定和管理Linux作業系統中的防火牆是網路系統管理員的重要工作。一般情況下，配置防火牆確實是一件需要很高技術的工作。無論是商業版本的防火牆還是完全免費的防火牆都需要在Linux平臺中進行軟硬體的配置。

　　有沒有能隨身攜帶的，使用方便的Linux防火牆呢？答案是有的，現在我就向大家介紹一種能裝在普通軟盤裡面的Linux防火牆。這套名字叫floppyfw的Linux 防火牆能存放在一張普通的軟盤裡，並獨立的在RAM記憶體中執行。使用它能啟動計算機，利用ipchains過濾掉無用的IP包，還可以使用它來配置IP偽裝（IP masquerade）,監視埠，透過它可以使用主機對其他網路中的計算機進行遠端控制。Floppyfw功能十分強大，但是它執行所需要的硬體環境卻非常低，除了需要一張軟盤之外，只要8MB的記憶體就足夠了。

　　Floppyfw需要的最的硬體裝置如下：

　　最少8MB記憶體

　　3.5"軟碟機

　　顯示卡

　　鍵盤

　　顯示器

　　有的Linux系統中裝兩塊網路卡，能使得Floppyfw正常工作，這就需要每一塊網路卡的IRQ和記憶體地址都正確無誤。在Linux系統中配置雙網路卡相信很多系統管理員都是輕車熟路的。

　　Floppyfw支援以下的網路卡。

　　3Com 3c509

　　NE2000 compatibles

　　Tulip-based

　　Intel EtherExpress PCI

　　關於軟體：

　　把Floppyfw做成一張可以引導的軟磁碟是一件非常簡單的事情。不過你要首先到 把Floppyfw下載到計算機的硬碟上。Floppyfw最新的版本應該是1.0.5或者更高，Floppyfw是一個映象檔案，可以使用

　　# dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k 這個命令把映象檔案解壓並寫到準備好的軟盤上。

　　關於設定：

　　需要注意的是，一般的軟盤格式化以後都是DOS（FAT）的格式。為了能順利的啟動Linux系統，我們需要在這張軟盤上作一些修改。建議使用其他的計算機來修改這張軟盤，如果在Linux系統中使用MTOOLS工具修改則更好。

　　使用命令如下：

　　$ cd /tmp

　　$ mcopy a:config

　　$ vi config

　　$ mcopy config a:

　　如果你使用的是其他的作業系統，我想在WINDOWS中可以使用記事本進行修改。在軟盤中，我們可以看到floppyfw一共有5個檔案：

　　config (主配置檔案)

　　firewall.ini (過濾規則)

　　modules.lst (附加的 ip_masq 模組)

　　sysLinux.cfg (核心啟動參量)

　　syslog.cfg (syslog 配置, 例如/etc/syslog.conf)

　　在一般情況下，我們不需要修改sysLinux.cfg或者modules.lst檔案。我們主要的任務就是要修改config這個檔案。為了簡單明瞭的說明問題，我在這裡不想過多的解釋config這個檔案裡面的具體的配置清單，只是著重說明config檔案末尾幾個重要的事項。

　　在(/bin/ash)找到"OPEN_SHELL controls shell"這行文字，如果您的計算機的記憶體少於12MB，把ONLY_8M設定成"Y"。USE_SYSLOG能測定系統中syslogd是否執行，而SYSLOG_FLAGS則是判斷syslogd啟動的標誌。使用者可以根據自己的實際情況進行修改。

　　附錄：配置清單一，這是一個透過測試的標準配置清單。由於這個Linux系統中沒有提供DHCP服務，使用的靜態的IP，所以僅供有相似服務的使用者提供參考。點選這裡下載清單一

　　關於過濾規則：

　　現在，讓我們再來看看firewall.ini檔案。沒有修改之前的floppyfw 的firewall.ini檔案預設設定了靜態的IP偽裝和拒絕一些固定埠的訪問。因為我們需要建立自己的防火牆，所以我們需要對 firewall.ini檔案進行修改。我們需要全面的設定過濾規則，關閉一些我們認為存在前在危險的埠。

　　在這裡因為篇幅的關係我就不再講解如何設定ipchains。如果您想知道更詳細的ipchains的配置方案和具體使用方法，推薦您參考以下的這個國外的Linux防火牆ipchains配置方案。

　　firewall.ini的過濾規則的具體設定可以參考配置清單二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)，這是一個已經修改好了的配置。如果你對Linux的防火牆不太熟悉，那麼可以直接下載這個配置清單來進行參考或者直接使用。

　　清單二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服務，一般的客戶端計算機都可以透過安全的埠訪問網路和使用以上的服務。

　　關於LOG

　　一般的Linux系統中的LOG檔案可不少，主要是記錄系統執行中的一些主要引數和記錄。上面已經說過了，syslog.cfg就是一個管理和記錄LOG 的檔案。Floppyfw能透過這個syslog.cfg檔案記錄下Linux防火牆系統中的控制記錄，例如鍵盤錯誤，顯示器沒有安裝等資訊也被如是的記錄下來。這為今後系統管理員分析和解決系統問題提供了有利的依據。syslog.cfg的設定也不難，首先把syslog.cfg設定成某臺計算機的主記錄檔案。例如，在Red Hat系統中，透過編輯/etc/rc.d/init.d/syslog可以達到目的。如果這臺計算機的IP是192.168.1.2，那麼在 syslog.cfg則要配置成一致的IP。具體的配置清單可以參考"清單三"(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)

　　一旦你把前面三個主要的檔案配置好了以後，那麼你就可以透過這張軟盤啟動Linux系統進行測試了。

　　如果你在配置和測試防火牆中還遇到其他的問題，可以參考以下網址：

　　Floppyfw by Thomas Lundquist:

　　

　　Linux Firewalls by Robert L. Ziegler:

　　

　　最後，我在這裡還要特別介紹一個也是相當不錯的Linux防火牆NetMAXFireWall。

　　NetMAX FireWall來自Cybernet Systems 公司，該防火牆的主要特點是容易安裝，執行穩定，對硬體需求低，安全防範效果非常理想。由於NetMAX防火牆是透過完全的圖形使用者介面（GUI）來一步步引導使用者安裝的，那麼NetMAX防火牆可以說是非常的適合Linux初學者和對Linux系統瞭解不多的使用者。

　　如果您還記得去年8月的LinuxWorld Conference & Expo 盛會的話，那麼您可能見過NetMAX防火牆參加過那次Linux博覽會的展示。和其他版本的防火牆不同的是NetMAX防火牆具有獨特的，安全的Web -based構造來保護Linux系統的安全。配置NetMAX防火牆可以透過網路來進行相應的配置和除錯，無疑這為許多使用者和系統管理員提供了很大的方便。這也是NetMAX防火牆能吸引人的地方之一。

　　不過，NetMAX防火牆可不是免費的防火牆版本，如果您需要安裝NetMAX防火牆，那麼您不得不購買一張NetMAX防火牆的光碟，因為NetMAX 防火牆並不支援網路安裝模式。使用CD-ROM光碟安裝模式安裝NetMAX防火牆需要10分鐘的時間，這比起使用網路安裝模式要快得多了。如果您需要了解更多的NetMAX防火牆資訊或者購買NetMAX防火牆光碟，敬請查詢以下網址：Cybernet Systems Corporation:

　　好，下面就讓我們一起來看一看NetMAX防火牆的簡單安裝。

　　測試平臺：

　　處理器: Pentium 200 MMX

　　記憶體: 64 MB RAM

　　硬碟: 2.1 GB

　　網路：兩塊 3Com ISA 3c509B NICs

　　系統平臺：

　　作業系統: Red Hat Linux 6.2

　　Kernel: 2.2.16

　　安裝之前，需要設定計算機主機板上的BIOS，使用CD-ROM驅動器引導計算機。放入NetMAX防火牆光碟。

　　NetMAX防火牆的引導初始化螢幕和RED HAT的安裝初始化介面是差不多的，令人驚異的是NetMAX防火牆的版權資訊提示看上去就是把RED HAT這幾個字換成了NetMA而已。安裝過RED HAT 的使用者就一點也不覺得陌生。NetMAX防火牆的開發公司稱NetMAX防火牆就是基於Red Hat Linux發行版本而設計的。所以Red Hat Linux能和NetMAX防火牆相處得很好。

　　初始化介面載入後，NetMAX防火牆和Red Hat Linux相似之處就更加明顯了。接著NetMAX防火牆就會嘗試著分析和查詢計算機上的硬體裝置，因為NetMAX防火牆需要安裝必要的kernel模組，如果NetMAX防火牆不能正確的識別硬體和載入kernel模組，它會顯示錯誤的提示給使用者。NetMAX防火牆是不會一次性安裝所有的東西到 Linux中取得。它首先會詢問使用者Linux系統中的網路配置引數讓使用者確認。然後詢問使用者是否同意繼續進行console-based 安裝。如果選擇"NO"，那麼NetMAX防火牆就會啟動Apache和提供使用者一個基於網路的URL引數提供給使用者指定和修改。

　　好，如果我們選擇"NO"，那麼就會出現下面的安裝情況，NetMAX防火牆就會在Linux系統中開啟了WEB瀏覽器(KDE 2's Konqueror)。如果這是我們填入一個URL，那麼一個錯誤的資訊就會在螢幕上彈出來。當錯誤的資訊彈出後，NetMAX防火牆就要求使用者修正https URL。至於錯誤資訊彈出的原因，我們尚未清楚，不過，在我們平時安裝和配置Apache 的時候也會有類似的情況出現。

　　按照 NetMAX防火牆的提示使用https修正初始化安裝之後，NetMAX防火牆這是才真正顯示出它的授權和放棄資訊。這和一般軟體在一開始安裝就顯示版權，授權等資訊是不同的。點?quot;Click here to continue" 就可以進一步安裝了。需要注意的是，如果您仔細觀察，您就會發現NetMAX防火牆的使用手冊有228頁之多。手冊裡面有"基本問題解決方法"，如果在安裝和使用 NetMAX防火牆遇到問題的時候就可以檢視這本手冊了。但是不是所有我們在安裝的時候遇到的問題都能找到解決的方法。手冊上列有的問題解決方法畢竟是有限的。

　　由於NetMAX防火牆採用了圖形使用者介面的安裝模式，所以只要您對Linux系統中的應用軟體的安裝比較熟悉的話，安裝和測試NetMAX防火牆應該是一件非常輕鬆的事情的。