中小企业自建Linux防火墙

核心提示： 附图 配置基于Linux防火墙 假设有一个局域网要连接到Internet上，公共网络地址为202.101.2.25，中小企业自建Linux防火墙(3)，内部网的私有地址根据RFC1597中的规定，采用C类地址192.168.0.0～192.168.255.0，如果在包过滤的基础上再加上代理

附图 配置基于Linux防火墙

假设有一个局域网要连接到Internet上，公共网络地址为202.101.2.25。内部网的私有地址根据RFC1597中的规定，采用C类地址192.168.0.0～192.168.255.0。为了说明方便，我们以3台计算机为例。实际上，最多可扩充到254台计算机。

具体操作步骤如下。

1. 在一台Linux主机上安装2块网卡ech0和ech1，给ech0网卡分配一个内部网的私有地址191.168.100.0，用来与Intranet相连; 给ech1网卡分配一个公共网络地址202.101.2.25，用来与Internet相连。
   
2. Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出，还允许转发包，但禁止一些危险包，如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。

具体设置如下。

(1)刷新所有规则

/sbin/ipchains　-F forward /sbin/ipchains　-F input /sbin/ipchains　-F output

(2)设置初始规则

/sbin/ipchains　-A input　-j ACCEPT　　/sbin/ipchains　-A output　-j ACCEPT　 /sbin/ipchains　-A forward -j ACCEPT

(3)设置本地环路规则

/sbin/ipchains　-A input -j ACCEPT　-　i lo　 /sbin/ipchains　-A output -j ACCEPT　-　i lo　

本地进程之间的包允许通过。

(4)禁止IP欺骗

/sbin/ipchains　-A input -j DENY　-　i　ech1 - s 192.168.100.0/24 /sbin/ipchains　-A input -j DENY　 -　i　ech1 - d 192.168.100.0/24 /sbin/ipchains　-A output -j DENY -　i　ech1 - s 192.168.100.0/24 /sbin/ipchains　-A output -j DENY　-　i　ech1 - d 192.168.100.0/24 /sbin/ipchains　-A input -j DENY　-　i　ech1 -s 202.101.2.25/32 /sbin/ipchains　-A output -j DENY -　i　ech1 -d 202.101.2.25/32

(5)禁止广播包

/sbin/ipchains　-A input -j DENY　 -　i　ech0 - s 255.255.255.255 /sbin/ipchains　-A input -j DENY　 -　i　ech0 - d 0.0..0.0 /sbin/ipchains　-A output -j DENY　-　i　ech0 - s 240.0.0.0/3

(6)设置ech0转发规则

/sbin/ipchains　-A forword -j MASQ -　i　ech0- s 192.168.100.0/24

(7)设置ech1转发规则

/sbin/ipchains　-A forword -j ACCEPT　-　i　ech1- s 192.168.100.0/24 /sbin/ipchains　-A forword -j ACCEPT　-　i　ech1- d 192.168.100.0/24

将规则保存到/etc/rc.firewallrules文件中，用chmod赋予该文件执行权限，在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules，这样当系统启动时，这些规则就生效了。

通过以上各步骤的配置，我们可以建立一个基于Linux操作系统的包过滤防火墙。它具有配置简单、安全性高和抵御能力强等优点，特别是可利用闲置的计算机和免费的Linux操作系统实现投入最小化、产出最大化的防火墙的构建。另外，如果在包过滤的基础上再加上代理服务器，如TIS Firewall Toolkit 免费软件包（http://www.fwtk.org)，还可构建更加安全的复合型防火墙。