eg: # insmod ip_masq_ftp
5、为满足需求4,可以在已经设置为DENY的Forward Chains中添加许可用户。因为许可这部分用户使用所有的服务,访问所有的地址,所以不用再指定目标地址和端口号。假定许可IP地址为192.168.1.22,配置命令如下:
eg: #ipchains-A forward-s 192.168.1.22 -j MASQ
同时,必须启动系统的IP包转发功能。出于安全的考虑,建议在设置了Forward Chains的策略设置为DENY,禁止所有的未许可包转发后再开启转发功能。
配置命令如下:
# echo 1 > /proc/sys/net/ipv4/ip_forward
6、关于防止IP地址盗用问题,在本网络拓扑中,可见所有用户都是通过两个路由器连接到防火墙,所以只需要在路由器中建立授权IP地址到MAC地址的静态映射表即可。如果有客户机直接连接到防火墙主机,就需要使用ARP命令在防火墙主机中建立IP地址到MAC地址的静态映射表。
7、对于需求6,只要在进入端口中设定IP地址确认,丢弃不可能来自端口的数据包就可以了。配置命令如下:
# ipchains -A input -i eth1 -s 192.168.0.0/255.255.0.0 -j DENY
至此,就算基本建立起来一个较为安全的防火墙了,再针对运行中出现的问题进行修改,调试无误后就可以用ipchains-save命令将配置保存起来。需要再次使用时,用命令 ipchains-restore即可。
其他的包过滤防火墙与IPChains的运行原理都相差不远,配置命令也大同小异。市面上出售的防火墙虽然可以预置一些基本的内容,但由于最终用户要求和环境千差万别,免不了要自己动手配置。
从上面的例子我们可以看出,建立一个安全的防火墙关键在于对实际情况的了解,对用户需求的掌握和对工具的熟练运用与正确实施上,这是真正的重点。