Linux免费防火墙试用手记

核心提示： 对于我例子中的脚本，我做如下说明： 1． 我的路由器中有两个网卡（NIC），Linux免费防火墙试用手记(3)，分别是eth0和eth1， 2． eth0通过HUB连接到LAN，但会给出一个ICMP无法到达的返回信息， 下面，并且在192.168.1.0/24的网络中（24指的是子网），

对于我例子中的脚本，我做如下说明：

1． 我的路由器中有两个网卡（NIC），分别是eth0和eth1。

2． eth0通过HUB连接到LAN，并且在192.168.1.0/24的网络中（24指的是子网）。

3． eth1连接在线缆或者DSL调制解调器上，并且使用的IP地址是由ISP提供的207.1.1.1。

默认情况下，Linux路由器会接收并且送出所有的信息，这相当于和下面一系列的命令等价：

ipchains -F

ipchains -P input ACCEPT

ipchains -P output ACCEPT

ipchains -P forward ACCEPT

在本例中：

* -F选项会重置所有规则，去除所有规则，然后重新开始配置。

* -P选项告诉防火墙使用默认的规则，直到有新的规则对其进行改变。事实上，如果只使用默认规则，路由器将很容易受到攻击。

从关到开

我们可以先打开所有的服务，然后再来关闭那些不想让别人访问的东西，这看起来似乎很不错。不过在实际中，我们往往把这个过程倒过来，也就是说，我们首先禁止所有的和路由器的通信，然后再把一些特定的服务和端口打开。所以我们可以采用以下的命令过程：

ipchains -F

ipchains -P input DENY

ipchains -P output REJECT

ipchains -P forward DENY

对这些命令说明如下：

* -P input DENY对所收到的数据包不做任何反应。

* -P output REJECT不接收任何数据包，但会给出一个ICMP无法到达的返回信息。

下面，我们再增加规则，允许内部网里的信息流出：

ipchains -A input -i lo -j ACCEPT

ipchains -A output -i lo -j ACCEPT

ipchains -A input -i eth0 -s 192.168.1.0/24 -j ACCEPT