有沒有能隨身攜帶的，使用方便的Linux防火墻呢？答案是有的，現(xiàn)在我就向大家介紹一種能裝在普通軟盤里面的Linux防火墻。這套名字叫floppyfw的Linux 防火墻能存放在一張普通的軟盤里，并獨(dú)立的在RAM內(nèi)存中運(yùn)行。使用它能啟動(dòng)計(jì)算機(jī)，利用ipchains過濾掉無用的IP包，還可以使用它來配置IP偽裝（IP masquerade）,監(jiān)視端口，通過它可以使用主機(jī)對其他網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。Floppyfw功能十分強(qiáng)大，但是它運(yùn)行所需要的硬件環(huán)境卻非常低，除了需要一張軟盤之外，只要8MB的內(nèi)存就足夠了。

Floppyfw需要的最的硬件設(shè)備如下：
最少8MB內(nèi)存
3.5"軟驅(qū)
顯示卡
鍵盤
顯示器
有的Linux系統(tǒng)中裝兩塊網(wǎng)卡，能使得Floppyfw正常工作，這就需要每一塊網(wǎng)卡的IRQ和內(nèi)存地址都正確無誤。在Linux系統(tǒng)中配置雙網(wǎng)卡相信很多系統(tǒng)管理員都是輕車熟路的。
Floppyfw支持以下的網(wǎng)卡。
3Com 3c509
NE2000 compatibles
Tulip-based
Intel EtherExpress PCI
關(guān)于軟件：
把Floppyfw做成一張可以引導(dǎo)的軟磁盤是一件非常簡單的事情。不過你要首先到http://www.zelow.no/floppyfw/download/ 把Floppyfw下載到計(jì)算機(jī)的硬盤上。Floppyfw最新的版本應(yīng)該是1.0.5或者更高，F(xiàn)loppyfw是一個(gè)鏡像文件，可以使用
# dd if=floppyfw-1.0.5.img of=/dev/fd0 bs=72k 這個(gè)命令把鏡像文件解壓并寫到準(zhǔn)備好的軟盤上。

關(guān)于設(shè)置：

需要注意的是，一般的軟盤格式化以后都是DOS（FAT）的格式。為了能順利的啟動(dòng)Linux系統(tǒng)，我們需要在這張軟盤上作一些修改。建議使用其他的計(jì)算機(jī)來修改這張軟盤，如果在Linux系統(tǒng)中使用MTOOLS工具修改則更好。
使用命令如下：
$ cd /tmp
$ mcopy a:config
$ vi config
$ mcopy config a:

如果你使用的是其他的操作系統(tǒng)，我想在WINDOWS中可以使用記事本進(jìn)行修改。在軟盤中，我們可以看到floppyfw一共有5個(gè)文件：
config (主配置文件)
firewall.ini (過濾規(guī)則)
modules.lst (附加的 ip_masq 模塊)
sysLinux.cfg (內(nèi)核啟動(dòng)參量)
syslog.cfg (syslog 配置, 例如/etc/syslog.conf)

在一般情況下，我們不需要修改sysLinux.cfg或者modules.lst文件。我們主要的任務(wù)就是要修改config這個(gè)文件。為了簡單明了的說明問題，我在這里不想過多的解釋config這個(gè)文件里面的具體的配置清單，只是著重說明config文件末尾幾個(gè)重要的事項(xiàng)。

在(/bin/ash)找到"OPEN_SHELL controls shell"這行文字，如果您的計(jì)算機(jī)的內(nèi)存少于12MB，把ONLY_8M設(shè)置成"Y"。USE_SYSLOG能測定系統(tǒng)中syslogd是否運(yùn)行，而SYSLOG_FLAGS則是判斷syslogd啟動(dòng)的標(biāo)志。用戶可以根據(jù)自己的實(shí)際情況進(jìn)行修改。

附錄：配置清單一，這是一個(gè)通過測試的標(biāo)準(zhǔn)配置清單。由于這個(gè)Linux系統(tǒng)中沒有提供DHCP服務(wù)，使用的靜態(tài)的IP，所以僅供有相似服務(wù)的用戶提供參考。點(diǎn)擊這里下載清單一

關(guān)于過濾規(guī)則：

現(xiàn)在，讓我們再來看看firewall.ini文件。沒有修改之前的floppyfw 的firewall.ini文件默認(rèn)設(shè)置了靜態(tài)的IP偽裝和拒絕一些固定端口的訪問。因?yàn)槲覀冃枰⒆约旱姆阑饓?，所以我們需要對firewall.ini文件進(jìn)行修改。我們需要全面的設(shè)置過濾規(guī)則，關(guān)閉一些我們認(rèn)為存在前在危險(xiǎn)的端口。
在這里因?yàn)槠年P(guān)系我就不再講解如何設(shè)置ipchains。如果您想知道更詳細(xì)的ipchains的配置方案和具體使用方法，推薦您參考以下的這個(gè)國外的Linux防火墻ipchains配置方案。

http://Linux-firewall-tools.com/Linux/faq/index.html

firewall.ini的過濾規(guī)則的具體設(shè)置可以參考配置清單二，這是一個(gè)已經(jīng)修改好了的配置。如果你對Linux的防火墻不太熟悉，那么可以直接下載這個(gè)配置清單來進(jìn)行參考或者直接使用。
清單二可以提供最基本的DNS, SMTP, POP, NNTP, TELNET, SSH, FTP, HTTP, 和 WHOIS服務(wù)，一般的客戶端計(jì)算機(jī)都可以通過安全的端口訪問網(wǎng)絡(luò)和使用以上的服務(wù)。

關(guān)于LOG
一般的Linux系統(tǒng)中的LOG文件可不少，主要是記錄系統(tǒng)運(yùn)行中的一些主要參數(shù)和記錄。上面已經(jīng)說過了，syslog.cfg就是一個(gè)管理和記錄LOG的文件。Floppyfw能通過這個(gè)syslog.cfg文件記錄下Linux防火墻系統(tǒng)中的控制記錄，例如鍵盤錯(cuò)誤，顯示器沒有安裝等信息也被如是的記錄下來。這為今后系統(tǒng)管理員分析和解決系統(tǒng)問題提供了有利的依據(jù)。syslog.cfg的設(shè)置也不難，首先把syslog.cfg設(shè)置成某臺(tái)計(jì)算機(jī)的主記錄文件。例如，在Red Hat系統(tǒng)中，通過編輯/etc/rc.d/init.d/syslog可以達(dá)到目的。如果這臺(tái)計(jì)算機(jī)的IP是192.168.1.2，那么在syslog.cfg則要配置成一致的IP。具體的配置清單可以參考"清單三"

一旦你把前面三個(gè)主要的文件配置好了以后，那么你就可以通過這張軟盤啟動(dòng)Linux系統(tǒng)進(jìn)行測試了。
如果你在配置和測試防火墻中還遇到其他的問題，可以參考以下網(wǎng)址：
Floppyfw by Thomas Lundquist:
http://www.zelow.no/floppyfw/
Linux Firewalls by Robert L. Ziegler:
http://Linux-firewall-tools.com/Linux/faq/

最后，我在這里還要特別介紹一個(gè)也是相當(dāng)不錯(cuò)的Linux防火墻NetMAXFireWall。

NetMAX FireWall來自Cybernet Systems 公司，該防火墻的主要特點(diǎn)是容易安裝，運(yùn)行穩(wěn)定，對硬件需求低，安全防范效果非常理想。由于NetMAX防火墻是通過完全的圖形用戶界面（GUI）來一步步引導(dǎo)用戶安裝的，那么NetMAX防火墻可以說是非常的適合Linux初學(xué)者和對Linux系統(tǒng)了解不多的用戶。

如果您還記得去年8月的LinuxWorld Conference & Expo 盛會(huì)的話，那么您可能見過NetMAX防火墻參加過那次Linux博覽會(huì)的展示。和其他版本的防火墻不同的是NetMAX防火墻具有獨(dú)特的，安全的Web-based構(gòu)造來保護(hù)Linux系統(tǒng)的安全。配置NetMAX防火墻可以通過網(wǎng)絡(luò)來進(jìn)行相應(yīng)的配置和調(diào)試，無疑這為許多用戶和系統(tǒng)管理員提供了很大的方便。這也是NetMAX防火墻能吸引人的地方之一。

不過，NetMAX防火墻可不是免費(fèi)的防火墻版本，如果您需要安裝NetMAX防火墻，那么您不得不購買一張NetMAX防火墻的光盤，因?yàn)镹etMAX防火墻并不支持網(wǎng)絡(luò)安裝模式。使用CD-ROM光盤安裝模式安裝NetMAX防火墻需要10分鐘的時(shí)間，這比起使用網(wǎng)絡(luò)安裝模式要快得多了。如果您需要了解更多的NetMAX防火墻信息或者購買NetMAX防火墻光盤，敬請查詢以下網(wǎng)址：Cybernet Systems Corporation: http://www.cybernet.com/

好，下面就讓我們一起來看一看NetMAX防火墻的簡單安裝。
測試平臺(tái)：
處理器: Pentium 200 MMX
內(nèi)存: 64 MB RAM
硬盤: 2.1 GB
網(wǎng)絡(luò)：兩塊 3Com ISA 3c509B NICs

系統(tǒng)平臺(tái)：
操作系統(tǒng): Red Hat Linux 6.2
Kernel: 2.2.16

安裝之前，需要設(shè)置計(jì)算機(jī)主板上的BIOS，使用CD-ROM驅(qū)動(dòng)器引導(dǎo)計(jì)算機(jī)。放入NetMAX防火墻光盤。
NetMAX防火墻的引導(dǎo)初始化屏幕和RED HAT的安裝初始化界面是差不多的，令人驚異的是NetMAX防火墻的版權(quán)信息提示看上去就是把RED HAT這幾個(gè)字換成了NetMA而已。安裝過RED HAT 的用戶就一點(diǎn)也不覺得陌生。NetMAX防火墻的開發(fā)公司稱NetMAX防火墻就是基于Red Hat Linux發(fā)行版本而設(shè)計(jì)的。所以Red Hat Linux能和NetMAX防火墻相處得很好。

初始化界面載入后，NetMAX防火墻和Red Hat Linux相似之處就更加明顯了。接著NetMAX防火墻就會(huì)嘗試著分析和查找計(jì)算機(jī)上的硬件設(shè)備，因?yàn)镹etMAX防火墻需要安裝必要的kernel模塊，如果NetMAX防火墻不能正確的識(shí)別硬件和載入kernel模塊，它會(huì)顯示錯(cuò)誤的提示給用戶。NetMAX防火墻是不會(huì)一次性安裝所有的東西到Linux中取得。它首先會(huì)詢問用戶Linux系統(tǒng)中的網(wǎng)絡(luò)配置參數(shù)讓用戶確認(rèn)。然后詢問用戶是否同意繼續(xù)進(jìn)行console-based 安裝。如果選擇"NO"，那么NetMAX防火墻就會(huì)啟動(dòng)Apache和提供用戶一個(gè)基于網(wǎng)絡(luò)的URL參數(shù)提供給用戶指定和修改。

好，如果我們選擇"NO"，那么就會(huì)出現(xiàn)下面的安裝情況，NetMAX防火墻就會(huì)在Linux系統(tǒng)中打開了WEB瀏覽器(KDE 2's Konqueror)。如果這是我們填入一個(gè)URL，那么一個(gè)錯(cuò)誤的信息就會(huì)在屏幕上彈出來。當(dāng)錯(cuò)誤的信息彈出后，NetMAX防火墻就要求用戶修正https URL。至于錯(cuò)誤信息彈出的原因，我們尚未清楚，不過，在我們平時(shí)安裝和配置Apache 的時(shí)候也會(huì)有類似的情況出現(xiàn)。

按照 NetMAX防火墻的提示使用https修正初始化安裝之后，NetMAX防火墻這是才真正顯示出它的授權(quán)和放棄信息。這和一般軟件在一開始安裝就顯示版權(quán)，授權(quán)等信息是不同的。點(diǎn)?quot;Click here to continue" 就可以進(jìn)一步安裝了 。需要注意的是，如果您仔細(xì)觀察，您就會(huì)發(fā)現(xiàn)NetMAX防火墻的使用手冊有228頁之多。手冊里面有"基本問題解決方法"，如果在安裝和使用NetMAX防火墻遇到問題的時(shí)候就可以查看這本手冊了。但是不是所有我們在安裝的時(shí)候遇到的問題都能找到解決的方法。手冊上列有的問題解決方法畢竟是有限的。

由于NetMAX防火墻采用了圖形用戶界面的安裝模式，所以只要您對Linux系統(tǒng)中的應(yīng)用軟件的安裝比較熟悉的話，安裝和測試NetMAX防火墻應(yīng)該是一件非常輕松的事情的。