1 iptable

設定在linux核心防火牆功能的工具。

2 shorewall

　　輔助設定iptable的工具，這是我慣用的的Mandrake10.2系統所內附的，我i是使用這個來作防火牆的設定。

2.1 我所設定的檔案

　　shorewall的設定檔都在/etc/shorewall裏面(etc都是放跟設定相關的)，其中我有改的是policy和rules兩個設定檔。policy是防火牆的政策，rules顧名思義是規則。

2.1.1 設定的方法

　　要作設定前，就要有明確的方針。以只准80,443,22,177 放行為例。

* 編輯policy，修改如下：

　　
fw net ACCEPT
net all DROP info
all all REJECT info

上面的意思簡單來說：就是所有封包都先擋，通過防火牆規則的才放行。詳細設定規則這個檔案前面的註解就有很多好說明與範例。

* 編輯rules，修改如下：

ACCEPT net:x.y.y.0/24 fw udp 177 -
ACCEPT net:x.y.y.0/24 fw tcp 80,443,22,177 -

　　第一行，是只放行來自我們x.y.y的網域可以透過udp連線177(ssh加密傳輸，我們的subversion存取是透過ssh加密傳輸的)。

　　第二行就比較多了，是放行來自我們公司的網域透過tcp連80,443,22,177，80是網頁伺服器，22，443應該是ftp和smb(連windows網芳)，不過目前後兩種服務沒開，所以連了也沒用。

* 執行shorewall去更新新的iptable，使新的防火牆規則生效：

1. 先驗證：下shorewall check檢查有沒有規則設錯。
2. 重新啟動防火牆：下shorewall restart使新規則生效。

那這樣一來防火牆規則就設定好了。