Linux安全中心—体验另一种iptables [原]

squall

相信大家都看过我的那一篇《把iptables打造成天网防火墙》，其使用的软体是firestarter，今天我再给大家介绍另一款国人自己开发的iptables的GUI—“Linux安全中心”。

软体下载地址：http://linuxfans.org/nuke/module ... mydown&did=3023

此为绿色软体，不用安装，只需进入到X界面，运行./run_lsc.sh即可弹出配置界面。

下面请看图示。




这里我们只需选中我们需要的规则，然后点击生成，在命令清单状态栏里点击“保存到文件并运行”。
下面请看图示。


你也可以自行定制适合你的环境的规则，点击“新的规则”按照上面的提示即可完成，还是很简单的。

在它生成的规则里，你也可以看看生成的iptables的规则，学习学习。

OK。到这里就介绍完了，赶紧去体验吧~~~~~~~

北南南北

GOOD

谢谢兄弟指教

北南 呈上

faint

可惜很多服务器都没有装x的。不过，看起来不错。网上早很有生成iptables的，不知道这是容易到什么地步。。。。

squall

Post by faint
可惜很多服务器都没有装x的。不过，看起来不错。网上早很有生成iptables的，不知道这是容易到什么地步。。。。

是的，就是这点是个缺陷。shorewall可以在文本界面下，但我觉得还不如直接敲命令简易些。

所以，一个解决方案就出来了。

我是在本机先调试好，然后通过SCP把脚本拷贝到服务器，然后chmod 755 firewall.sh，并加入/etc/rc.d/rc.local下，开机启动。

这样就解决了服务器上没有X的缺陷。

任我行

实在看不出来为啥叫安全中心，只是调整防火墙吗？
Linux/UNIX的精神是简单即为美，这个东西好象并没有什么必要
Linux博大精深，安全问题不是system view/PAM view再加个firewall就能完全解决的
呵呵，只是个人意见

Yuri

好伤心阿!
打击到我幼小的心灵了.
我的为什么是这样?

squall

Shorewall—没有X的管理配置iptables

OK，终于搞定了shorewall，更详细讲解请参考xjdong文献—《企业防火墙的完美实现》。

如果您看过了我前两篇的关于在X界面上通过GUI图形工具来配置管理iptables的文章，那么您可能会为服务器没装X-Windows而give it up。通过研究了xjdong文献—《企业防火墙的完美实现》，我就以主机托管环境为讲解，碰巧您的机器在联通且没有交纳硬件firewall服务，且希望通过一种更简洁、更直观的方式管理您自己的防火墙策略。那么今天我推荐的一款“shorewall”也许是您的一个选择。

好与坏，请大家用完后自行评论，本人这里只提供方案。

拓扑图如下：

1. 
   
2.              --------
   
3.              |router|
   
4.              --------
   
5.                  |
   
6.              --------
   
7.              |switch|
   
8.              --------
   
9.               /    \
   
10.              /      \
    
11.   -----------     ----------
    
12.   |无firewall|    |netscreen|
    
13.   -----------     -----------
    
14.    | | | | |       | | | | |
    
15.   me
    
16. link Internet : eth0
    

复制代码

从http://www.shorewall.net/官方� ... -2.2.5-1.noarch.rpm

OS：Redhat9  
Kernel：kernel-2.4.21-27.0.2.EL.um.1.i686.rpm

# rpm -ivh shorewall-2.2.5-1.noarch.rpm
# cd /etc/shorewall
# vi shorewall.conf

1. STARTUP_ENABLED=NO，该成Yes

复制代码

# vi zones（在最后一行加入如下语句）

1. 
   
2. net     Internet        The big bad Internet
   
3. loc     Local           Local Network
   
4. dmz     DMZ             Demilitarized zone.
   

复制代码

# vi interfaces（在最后一行加入如下语句）

1. 
   
2. net   eth0  detect
   

复制代码

# vi policy（在最后一行加入如下语句）

1. 
   
2. loc             net             ACCEPT
   
3. net             all             DROP            info
   
4. all             all             REJECT          info
   

复制代码

# vi rules（在最后一行加入如下语句）

1. 
   
2. # 外网→本机
   
3. AllowSSH   net  fw
   
4. AllowDNS   net  fw
   
5. AllowWeb   net  fw
   
6. AllowFTP   net  fw
   
7. AllowSMTP  net  fw
   
8. AllowPOP3  net  fw
   
9. DropPing   net  fw
   
10. 
    
11. # 本机→外网
    
12. AllowSSH   fw   net
    
13. AllowDNS   fw   net
    
14. AllowWeb   fw   net
    
15. AllowFTP   fw   net
    
16. AllowSMTP  fw   net
    
17. AllowPOP3  fw   net
    
18. 
    
19. # 如果有一些特殊端口需要打开
    
20. ACCEPT net  fw   tcp  3306
    
21. ACCEPT net  fw   tcp  443
    
22. ACCEPT net  fw   tcp  10000
    

复制代码

# shorewall start
# 测试→①ping②scan，具体如图示


Reference:
xjdong文献—《企业防火墙的完美实现》
http://www.shorewall.net/standalone.htm

oldrabbit

用shorewall怎么设置只允许某些ip访问？shorewall能做ip最大链接数限制？或者下载速度限制？

squall

Post by oldrabbit
用shorewall怎么设置只允许某些ip访问？shorewall能做ip最大链接数限制？或者下载速度限制？

ACCPET   net:192.168.0.123   fw   22
DROP      net:192.168.0.50     fw   22

shorewall能做ip最大链接数限制？
答：你可以在APACHE和VSFTPD里做限制。

或者下载速度限制？
答：服务器需要限制下载速度吗？

dato

功能看起来比较有限，有些GUI界面的配置工具安装起来还是比较麻烦。

用gShield也是个不错的选择