软盘里的Linux防火墙(2)

导读：
　　 关于设置：
　　需要注意的是，一般的软盘格式化以后都是DOS（FAT）的格式。为了能顺利的启动Linux系统，我们需要在这张软盘上作一些修改。建议使用其他的计算机来修改这张软盘，如果在Linux系统中使用MTOOLS工具修改则更好。
　　使用命令如下：
　　$ cd /tmp
　　$ mcopy a:config
　　$ vi config
　　$ mcopy config a:
　　如果你使用的是其他的操作系统，我想在WINDOWS中可以使用记事本进行修改。在软盘中，我们可以看到floppyfw一共有5个文件：
　　config (主配置文件)
　　firewall.ini (过滤规则)
　　modules.lst (附加的 ip_masq 模块)
　　sysLinux.cfg (内核启动参量)
　　syslog.cfg (syslog 配置, 例如/etc/syslog.conf)
　　在一般情况下，我们不需要修改sysLinux.cfg或者modules.lst文件。我们主要的任务就是要修改config这个文件。为了简单明了的说明问题，我在这里不想过多的解释config这个文件里面的具体的配置清单，只是着重说明config文件末尾几个重要的事项。
　　在(/bin/ash)找到"OPEN_SHELL controls shell"这行文字，如果您的计算机的内存少于12MB，把ONLY_8M设置成"Y"。USE_SYSLOG能测定系统中syslogd是否运行，而SYSLOG_FLAGS则是判断syslogd启动的标志。用户可以根据自己的实际情况进行修改。
　　 附录：配置清单一，这是一个通过测试的标准配置清单。由于这个Linux系统中没有提供DHCP服务，使用的静态的IP，所以仅供有相似服务的用户提供参考。点击这里下载清单一
　　关于过滤规则：
　　现在，让我们再来看看firewall.ini文件。没有修改之前的floppyfw 的firewall.ini文件默认设置了静态的IP伪装和拒绝一些固定端口的访问。因为我们需要建立自己的防火墙，所以我们需要对 firewall.ini文件进行修改。我们需要全面的设置过滤规则，关闭一些我们认为存在前在危险的端口。
　　在这里因为篇幅的关系我就不再讲解如何设置ipchains。如果您想知道更详细的ipchains的配置方案和具体使用方法，推荐您参考以下的这个国外的Linux防火墙ipchains配置方案。
　　firewall.ini的过滤规则的具体设置可以参考配置清单二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z)，这是一个已经修改好了的配置。如果你对Linux的防火墙不太熟悉，那么可以直接下载这个配置清单来进行参考或者直接使用。
　　清单二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服务，一般的客户端计算机都可以通过安全的端口访问网络和使用以上的服务。

本文转自
http://net.zdnet.com.cn/network_security_zone/2007/1112/625610.shtml