在Ubuntu上安装一个Iptables Firewall Firehol
介绍
FireHOL是有状态的iptables包过滤防火墙配置器。 它是抽象的,可扩展的,容易和强大的。 它可以处理任何类型的防火墙,但最重要的是,它为您提供了配置它的方法,与您想象的一样。
- firehol.sourceforge.net
每个尝试配置iptables防火墙的人都知道,它可以是相当的PITA。 firehol是一种帮助我们根据需要配置iptables的工具。 在本手册中,我将介绍如何使用只允许SSH和ICMP(协议负责ping和traceroute)的firehol来设置iptables防火墙。 而且,仅传入连接被过滤,并且允许传出连接。 开始了:
第一步 - 安装电炉
安装防火衣是非常容易的,因为它在官方的储存库。 只要打开一个终端,做一个
sudo aptitude install firehol
你们都准备好了 不要关闭你的终端,因为我们将需要更多。
第二步 - 设置firehol
我们必须编辑两个文件。 首先,我们必须启用电炉 。 打开并编辑文件/ etc / default / firehol ,例如使用VIM:
sudo vim /etc/default/firehol
更改第一行
START_FIREHOL=NO
至
START_FIREHOL=YES
保存并退出(在VIM中,按[ESC],然后按':wq')。
那么我们必须自己定义防火墙规则:
sudo vim /etc/firehol/firehol.conf
将此部分粘贴到文件中:
version 5
# Accept all client traffic on any interface
interface any internet
protection strong
server "icmp ping ICMP ssh" accept
client all accept
这将过滤与SSH或ICMP无关的所有传入连接。 如果你不想客气,可以通过添加来删除它们
policy drop
后“保护强”。
启动和固定电炉
开始firehol进入
sudo /etc/init.d/firehol start
如果您收到相当长的错误消息,请不要惊慌。 这与Ubuntu目前的bug有关。 要修复它,只需输入以下序列:
sudo sed 's/%q/%b/g' /lib/firehol/firehol > TMPFILE
sudo cp /lib/firehol/firehol /lib/firehol/firehol.backup
sudo mv TMPFILE /lib/firehol/firehol
sudo chmod 744 /lib/firehol/firehol
现在再试一次:
sudo /etc/init.d/firehol start
现在你的电脑不会接受来自外界的连接,除非是ping请求,traceroute或ssh。
玩的开心!
