Linux免費防火牆試用手記

　　作為一個網管，為了保護你的網路，你可以花數萬元來對流入流出的資訊進行控制，也可以分文不花而達到同樣的目的。聽起來是不是覺得不太可能？下面就讓我們來試一試吧！不試怎麼知道行不行呢？24小時線上的寬頻Internet串連的優點是顯而易見的，它快速、便宜、方便。不過，它潛在的危險相對來說，則不易為人們所注意。事實上，如果沒有合適的保護，這種不間斷的串連將使你公司的伺服器和資料時刻處於危險之中。一個帶有防火牆功能的路由器可以有效地消除這些危險。你可以花很多的錢去買一個路由器，也可以把錢省下來，完全使用Linux內建的路由和防火牆的功能來達到目的。在很多情況下，你甚至可以把你的Linux伺服器同時作為路由器使用。不過，如果你的Web網站資訊流量很大的話，最好使用一台PC來單獨完成這項任務。

　　使資訊可進可出

　　有時，你可能想讓路由器限制內部網中特定的PC，使其無法從Internet訪問，不過，更多時候，你會讓Linux路由器阻止一些不速之客的訪問。在使用DSL或者線纜串連時，一般都使用一個HUB，將其中一個連接埠連到Internet。這種情況下，只要是能夠串連到HUB上的人，就可以使用一些很容易得到的軟體，對流過你網站的資料進行監聽，甚至可以直接存取你的網路資源。

　　為此，我們可以關閉Telnet和FTP等容易被居心叵測者所監聽的服務。這顯然可以保證網路免於被入侵的威險，但是一般來說，公司都會用得上這些服務。也就是說，公司的業務一般要求路由器即要有安全性，又要讓資訊能夠順暢地流入流出。所以，你應該做的是有選擇性的限制對這些服務的訪問，而不是完全關閉它們。一旦你建立好了合適的配置指令碼，Linux路由器/防火牆就會為你完成這些工作。

　　服務、連接埠和協議

　　一般來說，e-mail或者Web等Linux伺服器，都必須可以被外部網所能訪問。對於這種類型的通訊，一些行業的標準連接埠常被用於協助定義這些服務。比如，Web伺服器一般使用80連接埠，SMTP（用於電子郵件服務）一般使用25連接埠等等。伺服器裡啟動並執行服務以及其使用的連接埠，可以在/etc/services檔案裡找到。

　　（這是我一台Linux機器上的services檔案內容）

　　此外，你還要清楚路由器應該使用什麼協議。乙太網路的協議種類很多，不過最常用的是TCP和UDP協議。（機子所使用的協議可以在/etc/protocols中找到）。

　　使用的命令

　　對於Linux路由器來說，我們使用的其實只是核心中IP地址轉寄和防火牆部分。所以你根本不需要額外的軟體，只需要一些命令指令碼，為路由器在處理收到的資料包時所做的反應定一些規則。這其中包括一系列輸入、輸出和轉寄方面的規則。