2005年10月24日 星期一

使用shorewall來輔助設定iptable

1 iptable

設定在linux核心防火牆功能的工具。

2 shorewall

  輔助設定iptable的工具,這是我慣用的Mandrake10.2系統所內附的。

2.1 我所設定的檔案

  shorewall的設定檔都在/etc/shorewall裏面(etc都是放跟設定相關的),其中要改的是policy和rules兩個設定檔。policy是防火牆的政策,rules顧名思義是規則。

2.1.1 設定的方法

  要作設定前,就要有明確的方針。以下以只放行80,443,22,177 等為例:

* 編輯policy,修改如下:

  
fw net ACCEPT
net all DROP info
all all REJECT info

上面的意思簡單來說:就是所有封包都先擋,通過防火牆規則的才放行。詳細設定規則這個檔案前面的註解就有很多好說明與範例。

* 編輯rules,修改如下:

ACCEPT net:x.y.z.0/24 fw udp 177 -
ACCEPT net:x.y.z.0/24 fw tcp 80,443,22,177 -

  第一行,是只放行來自x.y.z的網域可以透過udp連線177。

  第二行就比較多了,是放行來自x.y.z的網域透過tcp連80,443,22,177,80是網頁伺服器,22,443應該是ftp和smb(連windows網芳)。

* 執行shorewall去更新新的iptable,使新的防火牆規則生效:

1. 先驗證:下shorewall check檢查有沒有規則設錯。
2. 重新啟動防火牆:下shorewall restart使新規則生效。

那這樣一來防火牆規則就設定好了。

沒有留言:

count