寻求防火墙方案

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
suny_hn
帖子: 131
注册时间: 2006-01-30 20:36
送出感谢: 0
接收感谢: 0

寻求防火墙方案

#1

帖子 suny_hn » 2007-03-01 15:59

欲用UBUNTU SERVER做公司防火墙,采用ADSL拨号上网,双网卡,其要求规则如下:
1、公司局域网IP地址为192.168.0.0/24,全部IP可收发263xmail.com的邮件(WEB方式和POP方式),可到微软UPDATE网站进行更新,可以连到MYCAFEE网站更新病毒码,可以访问ftp.ubuntu.org.cn;
2、全公司禁QQ;
3、192.168.0.180-192.168.0.190可在早上8:00-晚上8:00无限制上网;
4、192.168.0.191-192.168.0.255可全天无限制上网;
5、将PPTP拨号转到192.168.0.198上;
6、可实现IP和MAC邦定。

以上规则要求要采用哪个防火墙软件,如何设置,请大家给个方案。

到google里搜过很多这方面的设置,总觉得例子没这么复杂,又做不到举一反三,所以只好到这里求救,还请高手不吝赐教!
suny_hn
帖子: 131
注册时间: 2006-01-30 20:36
送出感谢: 0
接收感谢: 0

#2

帖子 suny_hn » 2007-03-03 8:43

难道UBUNTU只是用来玩玩?真的不能正式用在企业应用上?
我以上的规则在200多块的宽带路由上就能实现,除了邦定MAC地址,难道一台SERVER加上功能这么强大的LINUX就不能实现?一台LINUX服务器还不如一台200多块钱的宽带路由???
雕啸长空
帖子: 1897
注册时间: 2006-09-12 14:09
送出感谢: 0
接收感谢: 0

#3

帖子 雕啸长空 » 2007-03-03 8:48

楼上可试过fwbuilder?
从头开始定制你自己的firewall及配套

wiki里介绍的那几个,还有guarddog等也很灵活啊,能实现什么就看个人造化了

另外,感觉你所说的已经不单纯是firewall的工作了,或者说全部功能只让一个firewall来担任似乎未必合适
Fair winds and following seas !
suny_hn
帖子: 131
注册时间: 2006-01-30 20:36
送出感谢: 0
接收感谢: 0

#4

帖子 suny_hn » 2007-03-03 9:13

谢谢楼上回复,我只是模糊理解为firewall,也许不太合适,反正就是能实现这些功能的一个软件吧。
很多介绍的似乎都是全部网络怎么共享上网的,没有更细致的控制上网,如果只是一个共享上网,何必这么费劲,windows server的ICS就很轻松搞定,并且还很易用。

fwbuilder没试过,也没了解过,了解最多的就是iptables和shorewall,现在就去了解下fwbuilder.
头像
5451vs5451
帖子: 345
注册时间: 2006-07-14 18:56
来自: Apple Valley, Planet Tux, Linux System
送出感谢: 0
接收感谢: 0

Re: 寻求防火墙方案

#5

帖子 5451vs5451 » 2007-03-03 9:51

iptables都能实现,但有的功能,像定时和禁qq必须安装相应的模块,它们可以在www.netfilter.org上找到。
雕啸长空
帖子: 1897
注册时间: 2006-09-12 14:09
送出感谢: 0
接收感谢: 0

#6

帖子 雕啸长空 » 2007-03-03 10:04

suny_hn 写了:谢谢楼上回复,我只是模糊理解为firewall,也许不太合适,反正就是能实现这些功能的一个软件吧。
很多介绍的似乎都是全部网络怎么共享上网的,没有更细致的控制上网,如果只是一个共享上网,何必这么费劲,windows server的ICS就很轻松搞定,并且还很易用。

fwbuilder没试过,也没了解过,了解最多的就是iptables和shorewall,现在就去了解下fwbuilder.
呵呵wiki里有一编介绍基于Ubuntu组建企业应用平台的文章,可以参考一下

另外fwbuilder我了解不多,如果达不到楼主的期望,别怪我误导,我只是去看过它官方的一些文档,装过后打开看看,感觉对于我这个人用户没有太大的用处,也就没有仔细去研究了......
Fair winds and following seas !
suny_hn
帖子: 131
注册时间: 2006-01-30 20:36
送出感谢: 0
接收感谢: 0

#7

帖子 suny_hn » 2007-03-03 10:22

谢谢两位的热心回复,我再研究一下,有结果的话再在这里贴出来
头像
xiehuoli
帖子: 5941
注册时间: 2006-06-10 8:43
来自: 中国 CS
送出感谢: 0
接收感谢: 2 次

#8

帖子 xiehuoli » 2007-03-03 11:40

我觉得这么多要求,买个硬件防火墙还好些
年轻没有失败! ! ! ! ! !
噢!有怪兽,有怪兽!
雕啸长空
帖子: 1897
注册时间: 2006-09-12 14:09
送出感谢: 0
接收感谢: 0

#9

帖子 雕啸长空 » 2007-03-03 12:04

xiehuoli 写了:我觉得这么多要求,买个硬件防火墙还好些
银子啊,小妹妹~
Fair winds and following seas !
Activer
帖子: 44
注册时间: 2006-11-19 1:27
送出感谢: 0
接收感谢: 0

#10

帖子 Activer » 2007-03-07 9:39

如果说要时间限制 好像一般的防火墙 没有这个功能吧, 要么自己写脚本控制

例如每天上午 8:00 就自动加载防火墙规则A, 每天晚上8:00自动加载防火墙规则B

还有限制QQ 不太容易吧, 一般的情况QQ用UDP, 但是会员好像可以用HTTP, 这个麻烦了

其它应该都可以实现
头像
KSKY
帖子: 358
注册时间: 2007-01-20 20:57
送出感谢: 0
接收感谢: 0

#11

帖子 KSKY » 2007-03-07 10:30

雕啸长空 写了:
xiehuoli 写了:我觉得这么多要求,买个硬件防火墙还好些
银子啊,小妹妹~
这么大一公司会在乎一个硬件防火墙 软件毕竟没有硬件来的实在
雕啸长空
帖子: 1897
注册时间: 2006-09-12 14:09
送出感谢: 0
接收感谢: 0

#12

帖子 雕啸长空 » 2007-03-07 11:31

KSKY 写了:
雕啸长空 写了:
xiehuoli 写了:我觉得这么多要求,买个硬件防火墙还好些
银子啊,小妹妹~
这么大一公司会在乎一个硬件防火墙 软件毕竟没有硬件来的实在
这与公司大不大没有直接关系,对于网络维护人员来说当然是上硬件好,但对于一些老板来说,花上W买个小黑盒子就是不爽,特别是在一些民营企业
Fair winds and following seas !
头像
skyx
论坛版主
帖子: 9203
注册时间: 2006-12-23 13:46
来自: Azores Islands
送出感谢: 0
接收感谢: 1 次
联系:

#13

帖子 skyx » 2007-03-07 11:35

雕啸长空 写了:
KSKY 写了:
雕啸长空 写了:
xiehuoli 写了:我觉得这么多要求,买个硬件防火墙还好些
银子啊,小妹妹~
这么大一公司会在乎一个硬件防火墙 软件毕竟没有硬件来的实在
这与公司大不大没有直接关系,对于网络维护人员来说当然是上硬件好,但对于一些老板来说,花上W买个小黑盒子就是不爽,特别是在一些民营企业
server也不便宜。ibm server 要30K, dell的也要25K

一块300g的scsi硬碟机要5K.一块入门的server主板也要?K
no security measure is worth anything if an attacker has physical access to the machine
雕啸长空
帖子: 1897
注册时间: 2006-09-12 14:09
送出感谢: 0
接收感谢: 0

#14

帖子 雕啸长空 » 2007-03-07 12:04

呵呵,直接上IBM入门级的,好像1.5W左右,或者没有什么大型应用和大量数据传输需求,直接配台PC机代了,SCSI现在性能似乎也不会领先家用市场上硬盘太多了吧?
Fair winds and following seas !
头像
skyx
论坛版主
帖子: 9203
注册时间: 2006-12-23 13:46
来自: Azores Islands
送出感谢: 0
接收感谢: 1 次
联系:

#15

帖子 skyx » 2007-03-07 12:09

雕啸长空 写了:SCSI现在性能似乎也不会领先家用市场上硬盘太多了吧?
开什么玩笑?
no security measure is worth anything if an attacker has physical access to the machine
回复

回到 “服务器基础应用”