对所有的Linux系统和网络管理员来说,一个最基本的技巧是知道如何从头开始编写一个强健的iptables防火墙,并且知道如何修改它,使其适应多种不同的情况。然而,在现实世界中,这看起来似乎少之又少。对iptables的学习并非是一个简单的过程,不过笔者在这里向您推荐外网上如下资料,这样使用起来你就得心应手了。
笔者认为所有的管理员都应彻底地理解Iptables,不过,另外一个可选择的方法是运用出色的Linux防火墙生成工具。
Firewall Builder
第一个出场的便是Firewall Builder,这是一个完善的多平台的图形化的防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计,它将规则设计的细节隐藏起来,而着重于编写策略。不过,不要在你真实的防火墙上运行防火墙生成器,因为它需要X Windows。你需要将其运行在一台工作站上,然后将脚本复制到防火墙上。
Firestarter
第二位是Firestarter,它是一款优秀的图形化的防火墙生成向导,它可以引导你一步一步地通过构建防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说,这是一个不错的选择,并且在防火墙之后,它还有一些公共服务,或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令,可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上,并远程监视之,或者将其用作一个独立的防火墙。
Shorewall
第三位Shorewall是一个流行的防火墙生成器;它比Firestarter更加复杂和灵活,并且它适合用于更加复杂的网络。Shorewall的学习曲线类似于iptables,不过,其文档资料丰富,并且提供提供不同情况的解决方法指南,如单一主机防火墙,两接口和三接口防火墙,以及拥有多个公共IP地址的防火墙等等。你可以获得许多关于过滤P2P服务的帮助,如Kazaa速率限制、QqS(质量服务)、VPN转移归向等内容。
我们向你推荐这三个软件的目的是让你不用花钱购买商业的防火墙软件,后者无论如何不如内置的Linux和Unix包过滤器。用户应该将有限的资金用于购买更高质量的硬件上。
