实现Linux网络防火墙

核心提示： 在防火墙转发链配置IP伪装后，内部网络上的主机向Internet发送访问IP包时，实现Linux网络防火墙(4)，内核将源IP地址换成网关的IP地址，并记录被伪装的IP地址后再转发该IP包，使用的策略方式也是两种：（1）首先允许所有的包都可通过，然后禁止有危险的包；（2）首先禁止所有的包，

在防火墙转发链配置IP伪装后，内部网络上的主机向Internet发送访问IP包时，内核将源IP地址换成网关的IP地址，并记录被伪装的IP地址后再转发该IP包。当这个包的Internet应答包从Internet进入网关时，内核执行去除IP伪装的操作，即将目的地址替换成内部地址。

通过适当的设置，IP伪装可以在某个网段、某台主机、某个接口、某个协议甚至是某个协议的某些端口上实现，非常灵活。IP伪装可以将内部网络的细节对外部网络屏蔽掉，因此，IP伪装提供了很好的安全性。

一般来说，安装相应版本的Linux系统时，系统会自动将Ipchains安装上。如果系统没有安装IP链软件包，可以通过光盘或从网上下载软件包来安装。

如果是rpm包，使用如下命令安装：

#rpm -ivh *.rpm

如果是.tar.gz包，则先需要将压缩包解压：

#tar xvfz *.tar.gz

然后再到解压后所在目录执行如下命令完成安装：

#./configure

#make

#make install

这样就将IP链防火墙成功安装在系统中。成功安装Ipchains后，接下来就是启动并配置包过滤规则。启用Ipchains需要完成如下操作：

◆ 手工修改/proc/sys/net/ipv4/ipforward文件，将其内容置为1。

◆ 在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件。

◆ 在/etc/rc.d目录下的rc.local文件中加上下面这段代码：

if [-f /etc/rc.ipfwadm]；then /etc/rc.d/rc.ipfwadm;fi;

这使得以后所有Ipchains的配置命令都将在rc.ipfwadm文件里修改。

和IPFW一样，Ipchains也是基于配置策略进行包过滤的。使用的策略方式也是两种：

（1）首先允许所有的包都可通过，然后禁止有危险的包；

（2）首先禁止所有的包，然后再根据所需要的服务允许特定的包通过。