3初始化防火墙配置
打开Webmin网址选择网络配置下的“IPFilter Firewall”的“Reset Firewall”按钮进入防火墙初始化界面如图-3。
图-3 防火墙初始化界面
◆用Webmin配置防火墙和NAT服务,本质上是编辑和操作/etc/ipf/ipf.conf和/etc/ipf/ipnat.conf文件,所有配置结果都保存在以上两个文件。
Webmin 为防火墙预置了五种选择:
◆Allow all traffic
允许使用进出流量,相当于在/etc/ipf/ipf.conf 文件中只有两句:
|
◆Do network address translation on external interface:
进行NAT 转换。
◆Block all incoming connections on external interface:
阻塞所有进入选定网卡的流量。相当于在/etc/ipf/ipf.conf 文件中有如下规则:
|
◆Block all except SSH and IDENT on external interface:
阻塞所有进入选定网卡的流量。但是不包括SSH 和IDENT 连接。相当于在/etc/ipf/ipf.conf 文件中有如下规则:
|
◆Block all except SSH, IDENT, ping and high ports on interface:
阻塞所有进入选定网卡的流量。但是不包括SSH 和IDENT、ping 连接关闭1024 以上端口。
3 防火墙进阶配置
除了预置了五种选择,还可以在以上基础上进行进阶配置,以配置出更加符合每个人的实际需求的配置如图-4。
图-4 编辑防火墙规则
您可以在Rule comment 栏目直接输入防火墙配置规则进行进阶配置然后保存配置。
4 配置NAT
如果原来已经设置启用了中级或高级防火墙策略,那就必须注意在这里配置转发(Forwarded packets (FORWARD))规则,允许NAT通信的有关协议、端口的流量由内向外通过,使NAT真正生效。配置界面如如图-5。
图-5 配置NAT
假如我们允许所有的通信通过,规则如下:
map e1000g0 192.168.0.11/24 -> 192.168.0.17/24 |
然后按“Save”按钮保存,再按“Apply Configuration”按钮,使规则即可生效。
三、 使用GUI 工具管理防火墙
尽管IPFilter技术十分容易了解,并且对于在网络传输上设置具体的限制特别有用, —般而言,配置IPFilter防火墙存在一些缺点,因为防火墙配置涉及编写规则,常用规则语言的话法通常对于初学者(特别是Windows 初学者)难于理解,这样数据包过滤可能难于正确配置。当然如果您以前使用Freebsd 那么掌握IPFilter包过滤防火墙就非常简单了。
规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤防火墙,而是将它和其他设备(如堡垒主机等)联合使用。事实上,如果读者们不是很熟悉IPFilter命令的使用方式,在这里介绍一个不错的图形管理程序,就是“System Firewall(系统防火墙)“ 。这是一个Opensolais 2010.03 发行版的一个新工具是Java 编写的。
System Firewall(系统防火墙)服务包括:
◆防火墙政策选择
◆默认设置防火墙策略
◆打开程序设置策略
◆对全系统防火墙策略设置覆盖
◆个性化服务的防火墙策略
.分页: [1] [2] [3]
TAG: Opensolais 防火墙 管理方法