教你如何制作軟盤版的 Linux系統(tǒng)防火墻
有沒有能隨身攜帶的,使用方便的Linux防火墻呢?答案是有的,現(xiàn)在我就向大家介紹一種能裝在普通軟盤里面的Linux防火墻。這套名字叫floppyfw的Linux防火墻能存放在一張普通的軟盤里,并獨立的在RAM內(nèi)存中運行。使用它能啟動計算機,利用ipchains過濾掉無用的IP包,還可以使用它來配置IP偽裝(IP masquerade),監(jiān)視端口,通過它可以使用主機對其他網(wǎng)絡(luò)中的計算機進(jìn)行遠(yuǎn)程控制。Floppyfw功能十分強大,但是它運行所需要的硬件環(huán)境卻非常低,除了需要一張軟盤之外,只要8MB的內(nèi)存就足夠了。
Floppyfw需要的最的硬件設(shè)備如下: 最少8MB內(nèi)存3.5"軟驅(qū)顯示卡鍵盤顯示器
有的Linux系統(tǒng)中裝兩塊網(wǎng)卡,能使得Floppyfw正常工作,這就需要每一塊網(wǎng)卡的IRQ和內(nèi)存地址都正確無誤。在Linux系統(tǒng)中配置雙網(wǎng)卡相信很多系統(tǒng)管理員都是輕車熟路的。
Floppyfw支持以下的網(wǎng)卡。 3Com 3c509 NE2000 compatibles Tulip-based Intel EtherExpress PCI
關(guān)于軟件:
把Floppyfw做成一張可以引導(dǎo)的軟磁盤是一件非常簡單的事情。不過你要首先到http://www.zelow.no/floppyfw/download/ 把Floppyfw下載到計算機的硬盤上。Floppyfw最新的版本應(yīng)該是1.0.5或者更高,F(xiàn)loppyfw是一個鏡像文件,可以使用 # dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k
這個命令把鏡像文件解壓并寫到準(zhǔn)備好的軟盤上。
關(guān)于設(shè)置:
需要注意的是,一般的軟盤格式化以后都是DOS(FAT)的格式。為了能順利的啟動Linux系統(tǒng),我們需要在這張軟盤上作一些修改。建議使用其他的計算機來修改這張軟盤,如果在Linux系統(tǒng)中使用MTOOLS工具修改則更好。
使用命令如下: $ cd /tmp$ mcopy a:config$ vi config$ mcopy config a:
如果你使用的是其他的操作系統(tǒng),我想在WINDOWS中可以使用記事本進(jìn)行修改。在軟盤中,我們可以看到floppyfw一共有5個文件: config (主配置文件) firewall.ini (過濾規(guī)則) modules.lst (附加的 ip_masq 模塊) sysLinux.cfg (內(nèi)核啟動參量) syslog.cfg (syslog 配置, 例如/etc/syslog.conf)
在一般情況下,我們不需要修改sysLinux.cfg或者modules.lst文件。我們主要的任務(wù)就是要修改config這個文件。為了簡單明了的說明問題,我在這里不想過多的解釋config這個文件里面的具體的配置清單,只是著重說明config文件末尾幾個重要的事項。
在(/bin/ash) 找到"OPEN_SHELL controls shell"這行文字,如果您的計算機的內(nèi)存少于12MB,把ONLY_8M設(shè)置成"Y"。USE_SYSLOG能測定系統(tǒng)中syslogd是否運行,而 SYSLOG_FLAGS則是判斷syslogd啟動的標(biāo)志。用戶可以根據(jù)自己的實際情況進(jìn)行修改。
附錄:配置清單一,這是一個通過測試的標(biāo)準(zhǔn)配置清單。由于這個Linux系統(tǒng)中沒有提供DHCP服務(wù),使用的靜態(tài)的IP,所以僅供有相似服務(wù)的用戶提供參考。點擊這里下載清單一
關(guān)于過濾規(guī)則:
現(xiàn)在,讓我們再來看看firewall.ini文件。沒有修改之前的floppyfw 的firewall.ini文件默認(rèn)設(shè)置了靜態(tài)的IP偽裝和拒絕一些固定端口的訪問。因為我們需要建立自己的防火墻,所以我們需要對 firewall.ini文件進(jìn)行修改。我們需要全面的設(shè)置過濾規(guī)則,關(guān)閉一些我們認(rèn)為存在前在危險的端口。
在這里因為篇幅的關(guān)系我就不再講解如何設(shè)置ipchains。如果您想知道更詳細(xì)的ipchains的配置方案和具體使用方法,推薦您參考以下的這個國外的Linux防火墻ipchains配置方案。
Firewall.ini 的過濾規(guī)則的具體設(shè)置可以參考配置清單二(ftp: //ftp.mfi.com/pub/sysadmin/2001/jan2001.tar.z),這是一個已經(jīng)修改好了的配置。如果你對Linux的防火墻不太熟悉,那么可以直接下載這個配置清單來進(jìn)行參考或者直接使用。
清單二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服務(wù),一般的客戶端計算機都可以通過安全的端口訪問網(wǎng)絡(luò)和使用以上的服務(wù)。
關(guān)于LOG
一般的Linux系統(tǒng)中的LOG文件可不少,主要是記錄系統(tǒng)運行中的一些主要參數(shù)和記錄。上面已經(jīng)說過了,syslog.cfg就是一個管理和記錄LOG 的文件。Floppyfw能通過這個syslog.cfg文件記錄下Linux防火墻系統(tǒng)<
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解