安裝Linux防火牆保證網絡安全

網絡安全現在越來越受到中小企業的關注，在中小企業應用的Linux系統中，怎樣才能保證網絡安全呢？主要的就是需要Linux防火牆。怎樣才能安裝Linux防火牆呢？本文為你講解安裝Linux防火牆。

.

假設有一個局域網要連接到Internet上，公共網絡地址為202.101.2.25。內部網的私有地址根據RFC1597中的規定，采用C類地址192.168.0.0～192.168.255.0。為了說明方便，，我們以3台計算機為例。實際上，最多可擴充到254台計算機。
具體操作步驟如下。

.

在一台Linux主機上安裝2塊網卡ech0和ech1，給ech0網卡分配一個內部網的私有地址191.168.100.0，用來與Intranet相連; 給ech1網卡分配一個公共網絡地址202.101.2.25，用來與Internet相連。 .

Linux主機上設置進入、轉發、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出，還允許轉發包，但禁止一些危險包，如IP欺騙包、廣播包和ICMP服務類型攻擊包等的設置策略。
具體設置如下。 .

(1)刷新所有規則 .

/sbin/ipchains  -F forward  

/sbin/ipchains  -F input  

/sbin/ipchains  -F output 

(2)設置初始規則 .

/sbin/ipchains  -A input  -j ACCEPT     

/sbin/ipchains  -A output  -j ACCEPT    

/sbin/ipchains  -A forward -j ACCEPT 

(3)設置本地環路規則

.

/sbin/ipchains  -A input -j ACCEPT  -  i lo    

/sbin/ipchains  -A output -j ACCEPT  -  i lo   

本地進程之間的包允許通過。 .

(4)禁止IP欺騙

.

/sbin/ipchains  -A input -j DENY   

-  i  ech1 - s 192.168.100.0/24  

/sbin/ipchains  -A input -j DENY    

-  i  ech1 - d 192.168.100.0/24  

/sbin/ipchains  -A output -j DENY  

-  i  ech1 - s 192.168.100.0/24  

/sbin/ipchains  -A output -j DENY   

-  i  ech1 - d 192.168.100.0/24  

/sbin/ipchains  -A input -j DENY   

-  i  ech1 -s 202.101.2.25/32  

/sbin/ipchains  -A output -j DENY  

-  i  ech1 -d 202.101.2.25/32