HOWTO:在UBUNTU中装一个防火墙

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
头像
jupengfei
帖子: 1258
注册时间: 2006-10-31 11:02
来自: Beijing
送出感谢: 0
接收感谢: 0

HOWTO:在UBUNTU中装一个防火墙

#1

帖子 jupengfei » 2007-03-15 9:32

看到论坛有这篇英文文章,于是我也想看看关于装防火墙的东西,读后感觉还真不错,于是翻译上来给菜鸟兄弟,同时请老鸟指正修改,毕竟英文水平有限,时间有限,好多地方翻译的很不顺,不过我相信主要意思是出来了,对照着应该是可以装上一个防火墙的。
原文见论坛别的帖子:viewtopic.php?t=18842


-----------------
在Ubuntu中安装一个防火墙
转贴自www.linux.com
Friday June 30, 2006 (02:01 PM GMT)
By: Joe 'Zonker' Brockmeier

Ubuntu的个人桌面安装为桌面用户提供了捆绑在一起的有用的软件,但是在默认的情况下却没有安装一个防火墙。幸运的是,在UBUNTU安装并运行一个防火墙是非常简单的。
---------------------------------
坦白来说,我非常喜欢默认安装没有设置一个防火墙。所有的时间我的大部分电脑仍然都存活于防火墙后面,并且我一直烦恼于当我对情况了如指掌的时候,安装软件还要处理防火墙对软件的质疑的要求。如果我需要一个防火墙在机器上,我能够设置在我自己电脑上。从UBUNTU就是这样,在某些程度上,目标是集体桌面系统,一个防火墙在很多安装中不是必须的。
但是如果当一个UBUNTU桌面是你唯一直接连接到因特网的电脑,那样安装防火墙是个好建议。从学术上说,UBUNTU包括了一个防火墙--你能通过iptables配置任何安全选项。那样,通常来说,大量用户没有足够的信息来配置。也就是说,我们更愿意安装一个图形界面的应用程序通过几个简单的步骤来配置一个防火墙。
我们通过两个软件包来配置防火墙。第一是Lokkit,一个你可以通过几个简单步骤并配置一个基本防火墙的应用程序。Lokkit是绝对容易上手,并且不需要你对防火墙的配置有太多的了解,但是它提供很少的选项功能,所以如果你想设置一个复杂的防火墙Lokkit并不是一个很好的选择。
相比来说,Guarddog,这个灵活的防火墙配置程序,比Lokkit复杂的多。如果你知道你正做什么的时候请选择Guarddog。
安装Lokkit或者Guarddog, 启动新利得或Adept并安装相应软件包。如果你更喜欢APT的话,只要在终端运行"sudo apt-get install gnome-lokkit"就能安装Lokkit,或者"sudo apt-get install guarddog"来安装Guarddog。
用Lokkit来配置你的防火墙:
用Lokkit来配置一个基本的防火墙是一件简单的事情。你需要以超级用户权限运行Lookit,ALT+F2打开运行对话框并输入"gksudo gnome-lokkit"来启动Lokkit。输入你的密码后,你将会看见配置防火墙的对话框。
Lokkit的配置向导是相当明了的。如果你不需要DCC文件在IRC下传输的话,我推荐你开启高级安全选项。还有,如果你用的DHCP从电缆调制解调器或DSL调制解调器得到的IP地址,当Lookit询问你关于启用DHCP支持的时候你要确信“是”。如果你有一个电缆或者DSL调制解调器,你很可能就是通过DHCP得到IP地址的。
如果电脑是局域网络上唯一的一台连接到网络,很可能不必要启用任何服务,当Lokkit询问你启用DHCP的时候你告诉它不。默认下,如果你选择没有,Lokkit将缺省本地局域网的其他电脑SSH开启,直到当Lokkit询问可信任的主机通过你的网络接口连接到网络是否安全时,你选择“是”才行。
回答完这些问题后,Lokkit将告诉你已经准备好启用防火墙,随后你能够同意更改并开启或取消防火墙。
如果你怀疑你的防火墙有问题,你能够重新运行Lokkit并选择禁用防火墙来删除你防火墙的所有设置。
Lokkit是很容易用的,它设置了一个适当的防火墙标准。通常情况下,如果你选择了最限制的标准,Lokkit把SSH和VNC留为打开,并且允许ping和类似BT这样的服务。如果你想要非常严格的防火墙标准,或者你需要设置一个更加复杂的防火墙,请看Guarddog。
用Guarddog配置你的防火墙
用Guarddog来设置一个防火墙,运行"gksudo guarddog"。你能够以正常用户的模式运行Guarddog,但是你应该在以后分别以超级用户载入防火墙标准。
Guarddog比Lokkit复杂的多。当你启动Guarddog时你看到的第一个就是Zones标签。Zones在基本上
设置了IP地址,就是你定义防火墙标准中所允许的那些IP地址。例如,如果你的电脑在有IP地址的局域网的私有局域网内,你能够为所有那些IP地址设置一个zone。默认情况下,Guarddog产生两个预先配置好的zones;一个是因特网zone,针对与其他zones不匹配的IP地址,还有个本地zone,针对本地局域网电脑。
要为你的局域网设置一个zone,单击New Zone(新建Zone),然后在Zone地址下,单击New Address(新建地址)。在地址栏里,你能添加一个单独的地址或者网络掩码来覆盖一个全部的10.0.0.255。你能够设置你的地址像10.0.0.0/24这样。
你想要设置除了本地和因特网之外的其他zones,你能够设置防火墙标准来对那些电脑寻址,如果是很有需要来用不同标准来为本地电脑设置防火墙,来为电脑连接通过因特网zone。最好的办法是把因特网作为最有威胁的zone,那样,你想要当他从因特网主机带来的流量时候允许暴露最小。
下一步你有协议配置。这里你需要准确地告诉Guarddog你想要启用哪种协议。这需要一些技巧,像某些不太清楚的东西是禁止的。在默认情况下,什么都没有,甚至是DNS,HTTP,或者POP3是允许的。选择你想要为每个zone启用的那些协议的全部,然后单击“同意”,在满意自己的设置后,确信你能浏览网站,能登录邮件,并且无论你需要做的事情都可以做。如果不能的话,你可能需要把允许的协议调整一下。
Guarddog也允许你设置系统日志记录选项。如果你不想读到那些日志关于什么被阻止或拒绝的话,你可能希望禁用记载日志。对桌面用户来说,除非你正试着用防火墙修理一个问题否则系统记载日志很可能不紧要。
最终,在“高级“标签下,如果Guarddog没包括适合你启用的协议那么你能配置自定义协议。当你需要添加一个协议的时候可以查看Guarddog对这些的帮助文件。
如果你想要用你的桌面电脑为其他的电脑配置路由器和防火墙,你可能需要用IP伪装来设置网络地址。那就超出这篇文章和Guarddog的能力范围了。来把你的系统设置成路由设备,要看看能代替Guarddog的东西。
你可以用Guarddog做适当的调整来适应你的任何要求并设置你想要的防火墙,但是很可能会值得花时间努力的。
Lokkit或者Guarddog任一都应该有能力来保护你的LINUX桌面系统。如果任一个都偏出你的喜好,UBUNTU提供的其他防火墙设置工具可能会更适合你。
图片
我也喜欢蓝妹妹......
ttmax6162
帖子: 4
注册时间: 2006-09-22 11:56
送出感谢: 0
接收感谢: 0

#2

帖子 ttmax6162 » 2007-03-23 14:26

装了,结果……
究竟是什么问题阿?
kiki@ttmax-laptop:~$ gksudo gnome-lokkit
Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

Gtk-WARNING **: Unable to locate loadable module in module_path: "libindustrial.so",

GnomeUI-WARNING **: While connecting to session manager:
Authentication Rejected, reason : None of the authentication protocols specified are supported and host-based authentication failed.
Gdk-ERROR **: BadMatch (invalid parameter attributes)
serial 2883 error_code 8 request_code 62 minor_code 0
Xlib: unexpected async reply (sequence 0xb5d)!
头像
dwl301
帖子: 1075
注册时间: 2007-04-14 11:17
送出感谢: 0
接收感谢: 3 次

#3

帖子 dwl301 » 2007-05-05 8:48

顶一个!
flyinflash
帖子: 2376
注册时间: 2006-09-21 14:28
送出感谢: 0
接收感谢: 0

#4

帖子 flyinflash » 2007-05-05 10:32

我顶两个。
头像
东方不坏
帖子: 843
注册时间: 2007-04-05 3:09
系统: Deepin
来自: 身后某处
送出感谢: 2 次
接收感谢: 0
联系:

#5

帖子 东方不坏 » 2007-05-07 2:23

有道理 我学到了不少东东 :oops:
[color=#FFFF00]东方不败[/color] 写了:
  • OS:Ubuntu14.10
  • CPU:Athlon II 651K
  • RAM:威刚DDR3 1600 4GX2双通道
  • 主板:GA-A75M-DS2
  • 硬盘:西数64M版 2T
  • 显卡:迅景6790
  • 显示器:LG W2242TP
dajian0509
帖子: 397
注册时间: 2006-10-13 18:53
来自: 湖南农业大学
送出感谢: 0
接收感谢: 0

#6

帖子 dajian0509 » 2007-05-10 11:27

还是要学点东西的好啊!
dajian0509
帖子: 397
注册时间: 2006-10-13 18:53
来自: 湖南农业大学
送出感谢: 0
接收感谢: 0

#7

帖子 dajian0509 » 2007-05-18 14:07

我的firestarter已经能正常工作了 !
senevy
帖子: 22
注册时间: 2007-04-17 11:26
送出感谢: 0
接收感谢: 0

#8

帖子 senevy » 2007-05-18 22:55

谢谢了,装了一下guarddog
可是不太会配置,qq一下上不了了,又不太会配置,删掉了,裸奔中 。。。
作人要厚道
帖子: 81
注册时间: 2007-02-23 8:59
送出感谢: 0
接收感谢: 0

#9

帖子 作人要厚道 » 2007-05-20 11:21

学习了

多谢!
webyi
帖子: 38
注册时间: 2007-05-06 11:30
送出感谢: 0
接收感谢: 0
联系:

#10

帖子 webyi » 2007-05-23 15:25

英文的看不懂啊
头像
wyg1258
帖子: 654
注册时间: 2006-09-12 19:44
来自: whu
送出感谢: 0
接收感谢: 0

#11

帖子 wyg1258 » 2007-06-03 20:39

没有汉化小组汉化一下吗???
linux 学习记录 你的 我的 大家的

http://wyg1258.cublog.cn
Isbasic
帖子: 73
注册时间: 2005-11-16 8:39
送出感谢: 0
接收感谢: 0
联系:

#12

帖子 Isbasic » 2007-06-04 8:19

默认的iptables已经很强大了。。。。
头像
song8575
帖子: 110
注册时间: 2006-05-13 18:33
送出感谢: 0
接收感谢: 0
联系:

#13

帖子 song8575 » 2007-06-06 17:47

Unable to start guarddog firewall - /etc/rc.firewall does not exist
这个是 为什么 ?请教 谢谢
donkey
帖子: 51
注册时间: 2007-06-16 15:16
送出感谢: 0
接收感谢: 0

#14

帖子 donkey » 2007-07-07 21:55

song8575 写了:Unable to start guarddog firewall - /etc/rc.firewall does not exist
这个是 为什么 ?请教 谢谢
我也遇到同样的问题,如何解决啊? :em20
头像
qlhn
帖子: 736
注册时间: 2006-08-25 10:37
送出感谢: 0
接收感谢: 0
联系:

#15

帖子 qlhn » 2007-07-14 10:45

Re:12楼的

iptables在我的机器里默认已经装上了,不过好像没有启用吧.
回复

回到 “服务器基础应用”