LINUX的反擊：軟盤裡的防火牆

　　Linux下的防火牆(firewall)是指一個由軟件或和硬件設備組合而成，處於企業或網絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。主要是控制對受保護的網絡(即網點)的往返訪問，逼使各連接點的通過能得到檢查和評估。  LINUX下的防火牆(firewall)從誕生到現在，防火牆主要經歷了四個發展階段：第一階段：基於路由器的防火牆；第二階段用戶化的防火牆工具套；第三階段：建立在通用操作系統上的防火牆；第四階段：具有安全操作系統的防火牆。目前世界上大多數防火牆供應商提供的都是具有安全操作系統的軟硬件結合的防火牆，象著名的NETEYE、NETSCREEN、TALENT99v等。在LINUX操作系統上的防火牆軟件也很多，有些是商用版本的防火牆，有的則是完全免費和公開源代碼的防火牆。大多數LINUX教程都提到了如何在LINUX平台中使用IPCHAINS來構築防火牆。  設置和管理LINUX操作系統中的防火牆是網絡系統管理員的重要工作。一般情況下，配置防火牆確實是一件需要很高技術的工作。無論是商業版本的防火牆還是完全免費的防火牆都需要在LINUX平台中進行軟硬件的配置。  有沒有能隨身攜帶的，使用方便的linux防火牆呢？答案是有的，現在我就向大家介紹一種能裝在普通軟盤裡面的LINUX防火牆。這套名字叫floppyfw的linux 防火牆能存放在一張普通的軟盤裡，並獨立的在RAM內存中運行。使用它能啟動計算機，利用ipchains過濾掉無用的IP包，還可以使用它來配置IP偽裝（IP masquerade）,監視端口，通過它可以使用主機對其他網絡中的計算機進行遠程控制。Floppyfw功能十分強大，但是它運行所需要的硬件環境卻非常低，除了需要一張軟盤之外，只要8MB的內存就足夠了。  Floppyfw需要的最的硬件設備如下：  最少8MB內存  3.5"軟驅  顯示卡  鍵盤  顯示器 有的LINUX系統中裝兩塊網卡，能使得Floppyfw正常工作，這就需要每一塊網卡的IRQ和內存地址都正確無誤。在LINUX系統中配置雙網卡相信很多系統管理員都是輕車熟路的。 Floppyfw支持以下的網卡。 3Com 3c509 NE2000 compatibles Tulip-based Intel EtherEXPress PCI 關於軟件： 把Floppyfw做成一張可以引導的軟磁盤是一件非常簡單的事情。不過你要首先到http://www.zelow.no/floppyfw/download/ 把Floppyfw下載到計算機的硬盤上。Floppyfw最新的版本應該是1.0.5或者更高，Floppyfw是一個鏡像文件，可以使用 # dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k 這個命令把鏡像文件解壓並寫到准備好的軟盤上。 關於設置：  需要注意的是，一般的軟盤格式化以後都是DOS（FAT）的格式。為了能順利的啟動LINUX系統，我們需要在這張軟盤上作一些修改。建議使用其他的計算機來修改這張軟盤，如果在LINUX系統中使用MTOOLS工具修改則更好。 使用命令如下： $ cd /tmp $ mcopy a:config $ vi config $ mcopy config a:  如果你使用的是其他的操作系統，我想在WINDOWS中可以使用記事本進行修改。在軟盤中，我們可以看到floppyfw一共有5個文件： config (主配置文件) firewall.ini (過濾規則) modules.lst (附加的 ip_masq 模塊) syslinux.cfg (內核啟動參量)


syslog.cfg (syslog 配置, 例如/etc/syslog.conf)  在一般情況下，我們不需要修改syslinux.cfg或者modules.lst文件。我們主要的任務就是要修改config這個文件。為了簡單明了的說明問題，我在這裡不想過多的解釋config這個文件裡面的具體的配置清單，只是著重說明config文件末尾幾個重要的事項。  在(/bin/ash)找到“OPEN_SHELL controls shell”這行文字，如果您的計算機的內存少於12MB，把ONLY_8M設置成“Y”。USE_SYSLOG能測定系統中syslogd是否運行，而SYSLOG_FLAGS則是判斷syslogd啟動的標志。用戶可以根據自己的實際情況進行修改。  附錄：配置清單一，這是一個通過測試的標准配置清單。由於這個LINUX系統中沒有提供DHCP服務，使用的靜態的IP，所以僅供有相似服務的用戶提供參考。點擊這裡下載清單一  關於過濾規則： 現在，讓我們再來看看firewall.ini文件。沒有修改之前的floppyfw 的firewall.ini文件默認設置了靜態的IP偽裝和拒絕一些固定端口的訪問。因為我們需要建立自己的防火牆，所以我們需要對firewall.ini文件進行修改。我們需要全面的設置過濾規則，關閉一些我們認為存在前在危險的端口。 在這裡因為篇幅的關系我就不再講解如何設置ipchains。如果您想知道更詳細的ipchains的配置方案和具體使用方法，推薦您參考以下的這個國外的LINUX防火牆ipchains配置方案。 http://linux-firewall-tools.com/linux/faq/index.Html firewall.ini的過濾規則的具體設置可以參考配置清單二，這是一個已經修改好了的配置。如果你對LINUX的防火牆不太熟悉，那麼可以直接下載這個配置清單來進行參考或者直接使用。 清單二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服務，一般的客戶端計算機都可以通過安全的端口訪問網絡和使用以上的服務。 關於LOG 一般的LINUX系統中的LOG文件可不少，主要是記錄系統運行中的一些主要參數和記錄。上面已經說過了，syslog.cfg就是一個管理和記錄LOG的文件。Floppyfw能通過這個syslog.cfg文件記錄下LINUX防火牆系統中的控制記錄，例如鍵盤錯誤，顯示器沒有安裝等信息也被如是的記錄下來。這為今後系統管理員分析和解決系統問題提供了有利的依據。syslog.cfg的設置也不難，首先把syslog.cfg設置成某台計算機的主記錄文件。例如，在Red Hat系統中，通過編輯/etc/rc.d/init.d/syslog可以達到目的。如果這台計算機的IP是192.168.1.2，那麼在syslog.cfg則要配置成一致的IP。具體的配置清單可以參考“清單三” 一旦你把前面三個主要的文件配置好了以後，那麼你就可以通過這張軟盤啟動LINUX系統進行測試了。 如果你在配置和測試防火牆中還遇到其他的問題，可以參考以下網址： Floppyfw by Thomas Lundquist: http://www.zelow.no/floppyfw/ Linux Firewalls by Robert L. Ziegler: http://linux-firewall-tools.com/linux/faq/  最後，我在這裡還要特別介紹一個也是相當不錯的 LINUX防火牆NetMAX FireWall。 NetMAX FireWall來自Cybernet Systems 公司，該防火牆的主要特點是容易安裝，運行穩定，對硬件需求低，安全防范效果非常理想。由於NetMAX防火牆是通過完全的圖形用戶界面（GUI）來一步步引導用戶安裝的，那麼NetMAX防火牆可以說是非常的適合LINUX初學者和對LINUX系統了解不多的用戶。  如果您還記得去年8月的LinuxWorld Conference & Expo 盛會的話，那麼您可能見過NetMAX防火牆參加過那次LINUX博覽會的展示。和其他版本的防火牆不同的是NetMAX防火牆具有獨特的，安全的Web-based構造來保護LINUX系統的安全。配置NetMAX防火牆可以通過網絡來進行相應的配置和調試，無疑這為許多用戶和系統管理員提供了很大的方便。這也是NetMAX防火牆能吸引人的地方之一。  不過，NetMAX防火牆可不是免費的防火牆版本，如果您需要安裝NetMAX防火牆，那麼您不得不購買一張NetMAX防火牆的光盤，因為NetMAX防火牆並不支持網絡安裝模式。使用CD-ROM光盤安裝模式安裝NetMAX防火牆需要10分鐘的時間，這比起使用網絡安裝模式要快得多了。如果您需要了解更多的NetMAX防火牆信息或者購買NetMAX防火牆光盤，敬請查詢以下網址：Cybernet Systems Corporation: http://www.cybernet.com/ 好，下面就讓我們一起來看一看NetMAX防火牆的簡單安裝。  測試平台： 處理器: Pentium 200 MMX

內存: 64 MB RAM 硬盤: 2.1 GB 網絡：兩塊 3Com ISA 3c509B NICs 系統平台： 操作系統: Red Hat Linux 6.2 Kernel: 2.2.16  安裝之前，需要設置計算機主板上的BIOS，使用CD-ROM驅動器引導計算機。放入NetMAX防火牆光盤。  NetMAX防火牆的引導初始化屏幕和RED HAT的安裝初始化界面是差不多的，令人驚異的是NetMAX防火牆的版權信息提示看上去就是把RED HAT這幾個字換成了NetMA而已。安裝過RED HAT 的用戶就一點也不覺得陌生。NetMAX防火牆的開發公司稱NetMAX防火牆就是基於Red Hat Linux發行版本而設計的。所以Red Hat Linux能和NetMAX防火牆相處得很好。  初始化界面載入後，NetMAX防火牆和Red Hat Linux相似之處就更加明顯了。接著NetMAX防火牆就會嘗試著分析和查找計算機上的硬件設備，因為NetMAX防火牆需要安裝必要的kernel模塊，如果NetMAX防火牆不能正確的識別硬件和載入kernel模塊，它會顯示錯誤的提示給用

 初始化界面載入後，NetMAX防火牆和Red Hat Linux相似之處就更加明顯了。接著NetMAX防火牆就會嘗試著分析和查找計算機上的硬件設備，因為NetMAX防火牆需要安裝必要的kernel模塊，如果NetMAX防火牆不能正確的識別硬件和載入kernel模塊，它會顯示錯誤的提示給用