广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1739 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 软碟版Linux防火墙的制作方法详细介绍
软碟版Linux防火墙的制作方法详细介绍



Linux下的防火墙(firewall)从诞生到现在,防火墙主要经历了四个发展阶段:第一阶段:基于路由器的防火墙;第二阶段用户化的防火墙工具套;第三阶段:建立在通用作业系统上的防火墙;第四阶段:具有安全作业系统的防火墙。目前世界上大多数防火墙供应商提供的都是具有安全作业系统的软硬体结合的防火墙,象着名的NETEYE、NETSCREEN、TALENTIT等。在Linux作业系统上的防火墙软体也很多,有些是商用版本的防火墙,有的则是完全免费和公开源代码的防火墙。大多数Linux教程都提到了如何在Linux平台中使用IPCHAINS来构筑防火墙。设置和管理Linux作业系统中的防火墙是网路系统管理员的重要工作。

  有没有能随身携带的,使用方便的Linux防火墙呢?答案是有的,现在我就向大家介绍一种能装在普通软碟里面的Linux防火墙。这套名字叫floppyfw的Linux防火墙能存放在一张普通的软碟里,并独立的在RAM记忆体中运行。使用它能启动电脑,利用ipchains过滤掉无用的IP包,还可以使用它来配置IP伪装(IP masquerade),监视端口,通过它可以使用主机对其他网路中的电脑进行远程式控制制。Floppyfw功能十分强大,但是它运行所需要的硬体环境却非常低,除了需要一张软碟之外,只要8MB的记忆体就足够了。

  Floppyfw需要的最的硬体设备如下: 最少8MB记忆体3.5"软盘机显示卡键盘显示器

  有的Linux系统中装两块网卡,能使得Floppyfw正常工作,这就需要每一块网卡的IRQ和记忆体地址都正确无误。在Linux系统中配置双网卡相信很多系统管理员都是轻车熟路的。

  Floppyfw支援以下的网卡。 3Com 3c509 NE2000 compatibles Tulip-based Intel EtherExpress PCI

  关于软体:

  把Floppyfw做成一张可以引导的软磁片是一件非常简单的事情。不过你要首先到http://www.zelow.no/f...ownload/ 把Floppyfw下载到电脑的硬盘上。Floppyfw最新的版本应该是1.0.5或者更高,Floppyfw是一个镜像文件,可以使用 # dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k

  这个命令把镜像文件解压并写到准备好的软碟上。

  关于设置:

  需要注意的是,一般的软碟格式化以后都是DOS(FAT)的格式。为了能顺利的启动Linux系统,我们需要在这张软碟上作一些修改。建议使用其他的电脑来修改这张软碟,如果在Linux系统中使用MTOOLS工具修改则更好。

  使用命令如下: $ cd /tmp$ mcopy a:config$ vi config$ mcopy config a:

  如果你使用的是其他的作业系统,我想在WINDOWS中可以使用记事本进行修改。在软碟中,我们可以看到floppyfw一共有5个文件: config (主配置文件) firewall.ini (过滤规则) modules.lst (附加的 ip_masq 模组) sysLinux.cfg (内核启动参量) syslog.cfg (syslog 配置, 例如/etc/syslog.conf)

  在一般情况下,我们不需要修改sysLinux.cfg或者modules.lst文件。我们主要的任务就是要修改config这个文件。为了简单明了的说明问题,我在这里不想过多的解释config这个文件里面的具体的配置清单,只是着重说明config文件末尾几个重要的事项。

  在(/bin/ash) 找到"OPEN_SHELL controls shell"这行文字,如果您的电脑的记忆体少于12MB,把ONLY_8M设置成"Y"。USE_SYSLOG能测定系统中syslogd是否运行,而 SYSLOG_FLAGS则是判断syslogd启动的标志。用户可以根据自己的实际情况进行修改。

  附录:配置清单一,这是一个通过测试的标准配置清单。由于这个Linux系统中没有提供DHCP服务,使用的静态的IP,所以仅供有相似服务的用户提供参考。点击这里下载清单一

  关于过滤规则:

  现在,让我们再来看看firewall.ini文件。没有修改之前的floppyfw 的firewall.ini文件默认设置了静态的IP伪装和拒绝一些固定端口的访问。因为我们需要建立自己的防火墙,所以我们需要对 firewall.ini文件进行修改。我们需要全面的设置过滤规则,关闭一些我们认为存在前在危险的端口。

  在这里因为篇幅的关系我就不再讲解如何设置ipchains。如果您想知道更详细的ipchains的配置方案和具体使用方法,推荐您参考以下的这个国外的Linux防火墙ipchains配置方案。

  firewall.ini 的过滤规则的具体设置可以参考配置清单二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z),这是一个已经修改好了的配置。如果你对Linux的防火墙不太熟悉,那么可以直接下载这个配置清单来进行参考或者直接使用。

  清单二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服务,一般的客户端电脑都可以通过安全的端口访问网路和使用以上的服务。
 
  关于LOG

  一般的Linux系统中的LOG文件可不少,主要是记录系统运行中的一些主要参数和记录。上面已经说过了,syslog.cfg就是一个管理和记录LOG 的文件。Floppyfw能通过这个syslog.cfg文件记录下Linux防火墙系统中的控制记录,例如键盘错误,显示器没有安装等资讯也被如是的记录下来。这为今后系统管理员分析和解决系统问题提供了有利的依据。syslog.cfg的设置也不难,首先把syslog.cfg设置成某台电脑的主记录文件。例如,在Red Hat系统中,通过编辑/etc/rc.d/init.d/syslog可以达到目的。如果这台电脑的IP是192.168.1.2,那么在 syslog.cfg则要配置成一致的IP。具体的配置清单可以参考"清单三"(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)

  一旦你把前面三个主要的文件配置好了以后,那么你就可以通过这张软碟启动Linux系统进行测试了。

  如果你在配置和测试防火墙中还遇到其他的问题,可以参考以下网址: Floppyfw by Thomas Lundquist: http://www.zelow.no...w/Linux Firewalls by Robert L. Ziegler: http://Linux-firewall-t...inux/faq/

  最后,我在这里还要特别介绍一个也是相当不错的Linux防火墙NetMAXFireWall。

  NetMAX FireWall来自Cybernet Systems 公司,该防火墙的主要特点是容易安装,运行稳定,对硬体需求低,安全防范效果非常理想。由于NetMAX防火墙是通过完全的图形用户介面(GUI)来一步步引导用户安装的,那么NetMAX防火墙可以说是非常的适合Linux初学者和对Linux系统了解不多的用户。

  如果您还记得去年8 月的LinuxWorld Conference & Expo 盛会的话,那么您可能见过NetMAX防火墙参加过那次Linux博览会的展示。和其他版本的防火墙不同的是NetMAX防火墙具有独特的,安全的Web -based构造来保护Linux系统的安全。配置NetMAX防火墙可以通过网路来进行相应的配置和调试,无疑这为许多用户和系统管理员提供了很大的方便。这也是NetMAX防火墙能吸引人的地方之一。

  不过,NetMAX防火墙可不是免费的防火墙版本,如果您需要安装NetMAX防火墙,那么您不得不购买一张NetMAX防火墙的光碟,因为NetMAX 防火墙并不支援网路安装模式。使用CD-ROM光碟安装模式安装NetMAX防火墙需要10分钟的时间,这比起使用网路安装模式要快得多了。如果您需要了解更多的NetMAX防火墙资讯或者购买NetMAX防火墙光碟,敬请查询以下网址:Cybernet Systems Corporation: http://www.cyb....com/

  好,下面就让我们一起来看一看NetMAX防火墙的简单安装。

  测试平台: 处理器: Pentium 200 MMX记忆体: 64 MB RAM 硬盘: 2.1 GB 网路:两块 3Com ISA 3c509B NICs 系统平台:作业系统: Red Hat Linux 6.2Kernel: 2.2.16

  安装之前,需要设置电脑主板上的BIOS,使用CD-ROM驱动器引导电脑。放入NetMAX防火墙光碟。

  NetMAX 防火墙的引导初始化萤幕和RED HAT的安装初始化介面是差不多的,令人惊异的是NetMAX防火墙的版权资讯提示看上去就是把RED HAT这几个字换成了NetMA而已。安装过RED HAT 的用户就一点也不觉得陌生。NetMAX防火墙的开发公司称NetMAX防火墙就是基于Red Hat Linux发行版本而设计的。所以Red Hat Linux能和NetMAX防火墙相处得很好。

  初始化介面载入后,NetMAX防火墙和Red Hat Linux相似之处就更加明显了。接着NetMAX防火墙就会尝试着分析和搜寻电脑上的硬体设备,因为NetMAX防火墙需要安装必要的kernel模组,如果NetMAX防火墙不能正确的识别硬体和载入kernel模组,它会显示错误的提示给用户。NetMAX防火墙是不会一次性安装所有的东西到 Linux中取得。它首先会询问用户Linux系统中的网路配置参数让用户确认。然后询问用户是否同意继续进行console-based 安装。如果选择"NO",那么NetMAX防火墙就会启动Apache和提供用户一个基于网路的URL参数提供给用户指定和修改。

  好,如果我们选择"NO",那么就会出现下面的安装情况,NetMAX防火墙就会在Linux系统中打开了WEB浏览器(KDE 2's Konqueror)。如果这是我们填入一个URL,那么一个错误的资讯就会在萤幕上弹出来。当错误的资讯弹出后,NetMAX防火墙就要求用户修正 https URL。至于错误资讯弹出的原因,我们尚未清楚,不过,在我们平时安装和配置Apache 的时候也会有类似的情况出现。

  按照 NetMAX防火墙的提示使用https修正初始化安装之后,NetMAX防火墙这是才真正显示出它的授权和放弃资讯。这和一般软体在一开始安装就显示版权,授权等资讯是不同的。点?quot;Click here to continue" 就可以进一步安装了。需要注意的是,如果您仔细观察,您就会发现NetMAX防火墙的使用手册有228页之多。手册里面有"基本问题解决方法",如果在安装和使用 NetMAX防火墙遇到问题的时候就可以查看这本手册了。但是不是所有我们在安装的时候遇到的问题都能找到解决的方法。手册上列有的问题解决方法毕竟是有限的。

  由于NetMAX防火墙采用了图形用户介面的安装模式,所以只要您对Linux系统中的应用软体的安装比较熟悉的话,安装和测试NetMAX防火墙应该是一件非常轻松的事情的。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-06-25 01:14 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052393 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言