Monday, March 13, 2006

Firestarter - 簡便且圖形介面的Linux平台防火牆

Shorewall 雖然簡單,但是仍必須具備一定的知識,需要使用者研讀一下它的使用手冊,其功能應較 Firestarter 來的彈性且複雜,然而對初階使用者而言仍有一定難度。

Firestarter 是更簡便的防火牆工具,而且具有圖形化介面。在 debian 下只需下 apt-get install firestarter 即可安裝。

安裝後執行 firestarter 即可開啟,使用 gnome 的使用者可以從主選單的 "應用程式" - "系統工具" 中找到。
第一次開啟會有設定精靈,完成設定後即進入主畫面︰
Firestarter-status

最重要的設定在第3個TAB - Policy
Policy 分兩組︰Inbound traffic policy 及 Outbound traffic policy

1. Outbound traffic policy -

基本上不用設,預設是所有對外連線均允許(Permissive by default, blacklist traffic),僅針對黑名單設限。若是對安全性要求較高者,可選 Restrictive by default, whitelist traffic ,再根據需求設定允許的連線。
Firestarter-outbound

2. Inbound traffic policy -

這邊是設置由外部到你的主機的連線,可針對你所開啟的伺服器來設定,主要分成兩個︰(1)Allow connections from host - 允許哪些外部電腦連線到你的主機。(2)Allow services - 允許哪些服務開啟。簡單來說,使用第2個(Allow services) 的限制比較完整,我也是只使用這個設定。
Firestarter-inbound

在我的設定中,我開啟了 Samba 及 SSH 服務,開啟方式是先將滑鼠在 Allow services 的小框框中點一下,再按上方選單的 "Add Rule",在出現的小視窗中設定你的服務需要的 port number 及要允許的外部電腦。
Firestarter-addrule

設定好之後按一下 Apply Policy 即可套用。

當你設定好防火牆之後,開啟到 "Events" 的頁面即可發現,在短時間內防火牆就擋掉許多從外部來的莫明奇妙連線。
Firestarter-events

ps. 使用 apt-get 安裝好 Firestarter 後,Firestarter 就以系統服務常駐了,開啟 Firestarter 的圖形介面只是為了提供方便的防火牆設定。

ps2. 若要關掉 console 不時出現的 Block 訊息,可修改 /etc/sysctl.conf:
kernel/printk = 3 4 1 7

參考資料︰
Frequently asked questions (FAQ) - Firestarter
firestarter - DebianWiki

1 comment:

confessions of anna banana said...

Great blog, I enjoyed reading it