2005年10月24日 星期一

1 iptable

設定在linux核心防火牆功能的工具。

2 shorewall

  輔助設定iptable的工具,這是我慣用的的Mandrake10.2系統所內附的,我i是使用這個來作防火牆的設定。

2.1 我所設定的檔案

  shorewall的設定檔都在/etc/shorewall裏面(etc都是放跟設定相關的),其中我有改的是policy和rules兩個設定檔。policy是防火牆的政策,rules顧名思義是規則。

2.1.1 設定的方法

  要作設定前,就要有明確的方針。以只准80,443,22,177 放行為例。

* 編輯policy,修改如下:

  
fw net ACCEPT
net all DROP info
all all REJECT info

上面的意思簡單來說:就是所有封包都先擋,通過防火牆規則的才放行。詳細設定規則這個檔案前面的註解就有很多好說明與範例。

* 編輯rules,修改如下:

ACCEPT net:x.y.y.0/24 fw udp 177 -
ACCEPT net:x.y.y.0/24 fw tcp 80,443,22,177 -

  第一行,是只放行來自我們x.y.y的網域可以透過udp連線177(ssh加密傳輸,我們的subversion存取是透過ssh加密傳輸的)。

  第二行就比較多了,是放行來自我們公司的網域透過tcp連80,443,22,177,80是網頁伺服器,22,443應該是ftp和smb(連windows網芳),不過目前後兩種服務沒開,所以連了也沒用。

* 執行shorewall去更新新的iptable,使新的防火牆規則生效:

1. 先驗證:下shorewall check檢查有沒有規則設錯。
2. 重新啟動防火牆:下shorewall restart使新規則生效。

那這樣一來防火牆規則就設定好了。

沒有留言:

count