Endian firewall——配置Linux防火牆從此不再難
前面剛說了ISA Server 2006,趁自己的Linux系列篇iptables還沒來,再次給大家介紹一款你們肯定會喜歡的防火牆產品——endian firewall.(還記不記得上次給大家介紹的openfiler(http://zpp2009.blog.51cto.com/730423/237966))
相信你看完這篇介紹endian firewall的文章之後,你會喜歡它,endian firewall是什麼?它是一款Linux的防火牆,如果你感覺這個名子不好記的話,可以叫它伊甸。這是我給它取的中文名,呵呵!聽到Linux的防火牆,可能會使您想到iptables。不要怕,放心好了它沒有iptables哪麼難。非常非常的簡單。而且就功能來說也不會輸給iptables。我並不是在給endian做廣告,它是開源的,不收費。
它爲什麼能夠把複雜的事情簡單化?因爲它的配置界面是通過web的方式進行。我們只要會點擊NEXT就會使用它。它的衆多功能在下面的介紹中可以看到。
首先我把endian的安裝光盤ISO鏡像文件的地址提供在這裏,希望大家看完博客後去動手試一下,地址如下:
本來想傳到下載中心,供大家下載的,但100多M,沒傳上來。呵呵!
接下來,我會分四個部分來向大家介紹它,首先就是安裝endian firewall。安裝最多三分鐘即可,比一般的Linux系統安裝起來更方便。只要會“下一步”就會安裝它,呵呵!
還是放一副拓撲在這裏,前面安裝用不到,後面配置時可以供大家參考一下
1. 安裝Endian firewall
1> 下載到它之後,刻成CD,放入光驅,BIOS設置爲光盤啓動,就會看到如下的界面,直接回車即可。
2> 設置安裝語言等無關緊要的步驟,我就不截圖了,記住!只要選擇“OK”、“NEXT”即可。
四個OK之後系統就開始安裝了。估計一分鐘內可以裝好。如圖:
3> 裝好後系統會讓我們設置第一塊網卡(eth0)的地址,默認是:192.168.0.15/24,現在我們修改爲:192.168.1.1.其實也就是咱們內網的地址。設置它的作用是爲了稍後對其連接管理時使用的連接地址。
4> 現在可以看到它已經在啓動各項服務了,從最後一行標註爲黃色的字可以看出,總共要啓動49個服務。
5> OK!就是這麼簡單ENDIAN FIREWALL就裝好了,裝好後的界面如下圖所示:
0 用來登錄shell(如果要登錄可以按0
1 reboot(重新啓動)
2 修改root的密碼
3 修改adminr的密碼(admin是使用管理URL登錄時使用的用戶名)
4 恢復出廠設置
安裝完畢後,我們就可以通過提示的管理URL地址對系統進行。初次使用前的的配置。
2. ENDIAN FIREWALL使用前的配置
1> 現在我們在IE中(其實最好是用火狐,因爲那樣界面會更好一些)鍵入Endian Firewall的管理地址:https://192.168.1.1:10443,它會自動跳轉到地址爲:
https://192.168.1.1:10443/cgi-bin/setup/step1/chdefaultpw.cgi的首次配置界面,如圖,
咱們點擊下面的“>>>”往下走就可以了。
2> 此處它讓我們選擇語言和時區,我這裏就選擇簡體中文,時間選擇上海時間。我希望大家做的時侯保持默認的英文,這樣可以使用更多的功能,或者看到更好的界面。我的英文水平不高,大家可別笑話我啊!
3> 下面是GNU組織的一番“客套話”,說實話我看不懂。但我知道點擊下面的“接受許可”,這其實就夠了。
4> 下面是問我們是否還原備份(之前的備份)。我們是第一次進入當然沒有備份,所以選擇NO,點擊“>>>”往下走即可。如圖:
5> 現在是讓我們設置密碼,左邊是設置用戶名爲admin的web登錄時用的密碼,右邊設置的是用戶名爲root以ssh方式登錄的密碼。咱們設置完成之後點擊“>>>”下一步即可。建議密碼設得長一點,複雜性高一點,雖然是https連接的。
6> 接下來我們會完成8個設置,第一個就是選擇紅區接口的類型。這裏有很多選項可以選,比如,以太網靜態、以太網DHCP、PPPoE、ADSL、ISDN等一些選項,咱們就選擇第一項“以太網static”因爲咱們外網口的地址是以太網靜態地址。
大家應該都知道在國際上用顏色來標識內網、外網,內網用的是綠色表示,外網用紅色表示,外圍(DMZ)用橙色表示。無線網用藍色表示。
7> 下面保持默認即可,它是讓我們定義DMZ區的網絡段和無線網的網絡段,因爲咱們只有兩塊網卡,沒有外圍(DMZ)也沒有無線網卡,所以如圖設置即可。
8> 到第三步了,大家可以看到現在是在讓我們配置內網卡(綠色)的參數,這裏也是默認即可,因爲剛剛咱們安裝系統時。其實就把內網卡的IP及子網掩碼設置了,主機名和域名現在也可以修改。如圖:
9> 第四步是讓我們定義外網(紅色)接口的參數,我這裏外網接口的IP是:61.134.1.4/24,然後選擇第二塊網卡,並指定它的網關:61.134.1.254.設置完後點擊“>>>”即可。
10> 第五步是讓我們設置主DNS和輔助DNS。咱們按實際情況設置即可,如圖:
11> 第六步是讓咱們設置系統聯繫管理員時用的E-mail地址,可以設置多個地址,如圖:
12> OK!現在應用配置就可以了,就這樣咱們的防火牆的基本配置就完成了,如圖:
3. 介紹endian firewall的設置界面
現在重新登錄,就會要求我們輸入用戶名和密碼,如圖,鍵入用戶名“admin”和我剛剛配置的密碼
下圖是我們登錄後看到的endian firewall的配置界面,現在是在系統選項卡里,從左邊可以看到我們可以進行網絡設置、備份、ssh acess、GU設置、關機等操作,從中間可以看到系統的版本、運行時間等;在硬件信息中可以看到cpu、內存、sawp分區、磁盤等信息;從最下面可以看到http代理、SMTP代理、POP3代理等服務方面是否開啓的信息。功能還可以吧。相信大家現在已經開始喜歡它了。
現在到狀態選項卡里來瞅瞅,可以看到各種各樣的的服務是否在運行中,以及內存、磁盤的使用率及運行的時間和用戶;特別是左邊的系統狀態中的功能,是很多系統狀態監視工具所無法匹敵的。
現在切換到網絡選項卡中,可以看到這裏的功能可以編輯路由及接口信息以及添加主機等的設置。
現在到服務選項卡中來看看,可以看到在這裏可以配置DHCP服務、DNS服務、Time Server(時間服務)、SNMP服務等,從圖中可以看到配置服務的界面都非常非常的簡單。
現在到了大家最關心的防火牆選項卡里,就是在這個界面裏,iptables能實現的功能它都可以實現,要配置DNAT直接單擊add a new destination NAT rule即可,做SNAT也是一樣的方法。我這裏沒法給大家一一展開看,希望大家能動手試試。
這個選項卡里就是用來做代理的,從左邊可以看到配置代理的服務有很多例如:http、POP3、FTP、SMTP、DNS等,做的時侯只需要點擊圖中開啓HTTP代理服務後面的黑白色按鍵即可。同時也可以配置接入策略、身份驗證、反病毒等。
***的配置界面如下,可以看到它支持基於三層的Ipsec***.以及現在比較流行的open***。
最後一個選項卡是關於日誌的,所有的日誌都可以通過這裏來查看到。也可以根據實際情況只顯示自己感興趣的日誌。
上面簡要的給大家介紹了endian firewall,光說不練不行。下面通過做一個目前應用非常廣泛的透明代理來驗證endian firewall是多麼多麼的簡單。
4. 利用endian firewall做透明代理
要做透明代理,咱們先到代理選項卡里。然後像圖中一樣選擇代理方式爲“透明的”,代理的端口設置爲“8080”(其實默認已經寫了)。點擊最下面的保存即可。如圖:
現在點擊圖中的應用。內網的用戶就可以上網了。
下面我們用IP爲192.168.1.10的客戶機來測試一下。
看到如下信息說明咱們的透明代理配置成功,夠簡單的吧
(注意:我用了一臺啓動了httpd的RHEL Linux主機模擬外網的Web主機。)
現在,我再次邀請大家試試這個防火牆,說它是防火牆。其實有點委屈它,功能太多了。它的功能我不能一一給大家演示,這次就到這裏吧!祝你們好運!