iptables配置工具比较

核心提示： 这个配置文件将使ferm产生iptables如下规则：允许向外的ssh和DNS报文通过；阻塞所有的UDP报文；只允许两种类型的ICMP消息通过：目的不可达和超时，并绝拒绝和日志其它类型的ICMP消息，iptables配置工具比较(4)，AGTAGT是一个使用C语言编写的程序，从它的代码来看

这个配置文件将使ferm产生iptables如下规则：允许向外的ssh和DNS报文通过；阻塞所有的UDP报文；只允许两种类型的ICMP消息通过：目的不可达和超时，并绝拒绝和日志其它类型的ICMP消息。

AGT

AGT是一个使用C语言编写的程序。从它的代码来看，目前还处于开发阶段。不支持automake，需要手工编辑Makefile文件，文档也不是很丰富，但是其配置文件非常简单。下面就是一个配置文件：

NEW | FROM-INT

NEW | RESET

|| FROM-INT | icmp | ACCEPT |||||

|| FROM-INT | tcp | ACCEPT ||||| pop3

|| FROM-INT | tcp | ACCEPT ||||| imap

|| RESET | tcp | REJECT --reject-with tcp-reset |||||

这样的文件格式，加上缺乏必要的文档，对使用者来说是一个很大的挑战。而且最好多花些时间学学iptables。

knetfilter

knetfilter是一个非常棒的图形化iptables配置工具，它是基于KDE的(有KDE1和KDE2两个版本)。knetfilter非常易于上手，你可以很容易地使用它来配置基于主机保护的规则和规则列表；保存和恢复测这些规则和规则列表；测试规则和规则列表(在同一个面板上运行 tcpdump网络嗅探器)，这一切只要点几下鼠标就可以了。它也支持NAT和网络地址伪装的配置。但是，对于拨号工作站，knetfilter工作的不太好，因为它需要本地IP，而且只探测eth0网络接口，不进行PPP探测。这个工程的文档也很少，不过因为是基于图形界面，所以即使不用手册也可以很好地使用。

gShield

gShield是一个bash shell脚本，可能是当前最成熟的一个工具。它的文档非常丰富，配置文件也比较合理直观，还能够设置NAT。它不但能够处静态IP地址，还能够处理动态IP地址(例如：PPP)。

gShield还有图形界面，目前仍然处于早期开发阶段，可以从http://members.home.com/vhodges/gshieldconf.html下载。不过，它似乎只兼容gShield的早期版本(1.x)。

下面是一个示例配置文件：

FW_ROOT="/etc/firewall"

IPTABLES=`which iptables`

LOCALIF="eth0"

DNS="24.31.195.65"

LTIME="20/m"

ALLOW_DHCP_LEASES="YES"

...

gShield使用的默认配置非常安全，特别适合不愿意摆弄配置文件的用户，不过软件的编者建议用户最好能够通读整个配置文件。据README文件讲，gShield实现了"类tcpwrapper风格的服务访问控制功能"，使用这个功能用户可以很容易地阻塞/允许某项服务，而不必考虑报文方向之类的问题，只要关心什么客户连接到服务器就可以了。

结论

虽然本文介绍了一些防火墙配置工具，但是实际上目前还没有理想的配置工具。最好的配置工具还iptables命令，这里介绍的这些工具，只适用于对于使用iptables命令行感觉困难的用户。