|
|
|
 |
|
|
Linux为我们提供了一个非常优秀的防火墙工具,它就是netfilter/iptables(http: //www.netfilter.org/)。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化的控制。
事实上,每一个主要的Linux版本中都有不同的防火墙软件套件。Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序。第一代是Linux 内核1.1版本所使用的Alan Cox从BSD Unix中移植过来的ipfw。
在2.0版的内核中,Jos Vos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具。在2.2版内核中, Russell和Michael Neuling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用户控制过虑规则的ipchains工具。后来,Russell又完成了其名为netfilter(http://www.netfilter.org)的内核框架。这些防火墙软件套件一般都比其前任有所改进,表现越来越出众。
Netfilter/iptables已经包含在了2.4以后的内核当中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。 netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。netfilter/iptables是从ipchains和 ipwadfm(IP防火墙管理)演化而来的,为了简单起见,下文中,我就将其统一称为iptables。
iptables的其它一些好的用法是为Unix、Linux和BSD个人工作站创建一个防火墙,当然也可以为一个子网创建防火墙以保护其它的系统平台。 iptables只读取数据包的头,所以不会给信息流增加负担,此外它也无需进行验证。如果要想获得更好的安全性,可以将其和一个代理服务器(比如 squid)相结合。本文来自:http://doc.linuxpk.com/16593.html
|
|
|
|
|
|
|
