使用iptables建置Linux 防火牆(1)

　　防火牆在校園內一直被認為陌晦高深，很少有系管師有勇氣進行計劃性的實驗，基本上這份講義也可以當成測試報告來閱讀，是筆者秉持我不入地獄、誰入地獄的精神，冒著生命危險，蠻幹出來的成果，也藉此拋磚引玉，希望能帶動國內能力高於筆者許多的眾家高手，一起來進行有利於校園網路的公益研究！

　　壹、什麼是防火牆

　　防火牆是一套能夠在兩個或兩個以上的網路之間，明顯區隔出實體線路聯機的軟硬體裝置群組合。被區隔開來的網路，可以透過封包轉送技術來相互連訊，透過防火牆的安全管理機制，可以決定哪些資料可以流通，哪些資料無法流通，藉此達到網路安全保護的目的。

　　防火牆產品可以概略歸類為硬體式防火牆和軟體式防火牆，但實際上無論是硬體式或軟體式防火牆，它們都需要使用硬體來作為聯機介接，也需要使用軟體來設定安全政策，嚴格說兩者間的差別並不太大。我們只能從使用的硬體與作業系統來加以區分，硬體式防火牆是使用專有的硬體，而軟體式防火牆則使用一般的電腦硬體，硬體式防火牆使用專有的作業系統，而軟體式防火牆則使用一般的作業系統。

　　防火牆依照其運作方式來分類，可以區分為封包過濾式防火牆 (Packet Filter) 、應用程式層網關式防火牆 (Application-Level Gateway，也有人把它稱為 Proxy 防火牆)、電路層網關式防火牆 (Circuit-Level Gateway)。其中被廣為採用的是封包過濾式防火牆，本文要介紹的 iptables 防火牆就是屬於這一種。

　　封包過濾是最早被實作出來的防火牆技術，它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 資料封包，如果其標題中所含的資料內容符合過濾條件的設定就進行進一步的處理，主要的處理方式包含：允許存取（accept）、丟棄（drop）或拒絕（reject）。要進行封包過濾，防火牆必須要能分析通過封包的來源 IP 與目的地 IP，還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡介面、TCP的聯機狀態等資料。

　　防火牆由於種種理由價格一直居高不下，對於貧窮的中小學來講要採購一台防火牆，簡直是不可能的任務，而由於 Linux 的風行，使用 Linux 來充作軟體式防火牆，似乎是不錯的解決之道，本文擬介紹以 Linux 上最新最強大的 iptables 防火牆軟體，建置出適合學校使用的過濾規則，讓缺錢的學校能有一套好用的防火牆來看守校園網路的大門。

　　貳、Linux 防火牆演變簡史

　　Linux 最早出現的防火牆軟體稱為 ipfw，ipfw 能透過 IP 封包標題的分析，分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡介面......等，並藉此分析結果來比對規則進行封包過濾，同時也支援 IP 偽裝的功能，利用這個功能可以解決 IP 不足的問題，可惜這支程式缺乏彈性設計，無法自行建立規則群組合（ruleset）作更精簡的設定，同時也缺乏網址轉譯功能，無法應付越來越複雜的網路環境，而逐漸被淘汰。