由于iptables规则实在太难记，刚从windows转过来的用户可以用一个设置防火墙的软件。
shorewall,防火墙设置工具，是操作iptables的，然后借助webmin来操作shorewall，太方便了！可以设置出任何规则。
www.shorewall.org
www.webmin.com               


哪些自称为高手的人都有精神病，非弄得曲高和寡才叫高。不用简单 的


不会安装加QQ：3645636

呵呵,

赞一个.很多基于iptables的防火墙,不同发行版本都会带一个.

太狭隘、太偏执了

本来就是这样，如果简单的话，还有菜鸟新手这一说吗？为什么不鼓励用shorewall或者webmin，如果用shorewall或者wemin，你们又来了，服务器不需要图形化用户界面，而webmin是基于浏览器的，会在服务器上占用很多资源，如果在客户机设置会影响安全！总之称之为高手的哪帮家伙其实都是以复杂的东西骗取新手们的崇拜。某些人还喜欢拿别人的程序，稍稍修一下版本，XXX大名署上！

实例：
2008-08-06 04:42:31 Host: xxx.com
2008-08-06 04:42:31 Pragma: no-cache
2008-08-06 04:42:31 Referer: http://www.xxx.com/
2008-08-06 04:42:31 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; )
2008-08-06 04:42:32 HTTP/1.1 200 OK
2008-08-06 04:42:32 Date: Tue, 05 Aug 2008 20:42:36 GMT
2008-08-06 04:42:32 Server: YLMF webserver         //webserver明明是Apache，非得修改一下，有什么用，如果自己能写这种东西，还得这么辛苦做网站吗。这其实都没什么，只不过将源码改一下，并没什么高明的东西，鄙视这类人

[ 本帖最后由 3645636 于 2008-8-6 04:47 编辑 ]

您的回應我想還是可以使用 platinum 回文內的用字來描述，那就是想法過於偏激。

iptables 的命令非常好學習，基本上若是 end user 可能可以用一些簡化的 UI 工具，但是若是身為系統管理者這類網管人員不熟悉 iptables 命令使用基本上是會有許多問題的。而 webmin 目前倒是蠻流行的，但是這不表示管理系統只要會用 webmin 而可以不懂實質根本面的基礎，我想這句話大家都會贊同。

至於 shorewall 這軟件我個人很熟悉，因為我教導許多客戶群使用這個東西配置所需要的功能，但是你千萬不要告訴我要配置這個軟件組態可以不用學，shorewall 要配置也是一門學問，這倒是千真萬確的事情就是。拉回來就是 iptables 有許多功能是無法單純使用 webmin 與 shorewall 設定出來的，這可能是 UI 設計無法多方面兼顧，所以有一些需求面你還是得回歸熟悉基本的 iptables 命令使用。

至於修改 webserver 的資訊，這個與是否為高手沒有關係，請不要混在一起討論。而我剛好想到你之前問了一篇:

http://linux.chinaunix.net/bbs/thread-1009699-1-1.html

我想 shorewall 不用學習，那真的還騙人的

題外話出個考題有時間你用 webmin or shorewall 設定一下這個需求:

只有允許傳入封包大小為 1 ~ 84 bytes，類型為 echo-request 的 icmp 封包，但是 192.168.0.0/16 無該限制。

最後網絡版置頂有幾篇文章，教學與 faq 請多利用，謝謝。

--

我并没有说不用学习Shorewall，我是说免了iptables,先前我只是不了解shorewall，现在明白了，什么就不哪么难了。

只有允許傳入封包大小為 1 ~ 84 bytes，類型為 echo-request 的 icmp 封包，但是 192.168.0.0/16 無該限制

允许，192.168.0.0网络传入icmp包大小为1~84bytes的数据包。
#ACTION  SOURCE          DEST               PROTO  DEST    COMMENTS

ACCEPT    loc           $fw                     icmp   echo-request

192.168.0.0这是一个C类局域网地址，所以SOURCE定义为loc，即本地，你所说的数据包限制在1~84BYTES之间，我想通过shorewall很容易设置，只是我现在没有实验环境
或者这样:ACCEPT    loc:192.168.0.0/16          $fw                icmp   echo-request

[ 本帖最后由 3645636 于 2008-8-6 08:19 编辑 ]

如果你只想心甘情愿做一个低级技术人员，那么你的想法是正确的，你可以继续大言不惭的说“哪些自称为高手的人都有精神病”

你非得盲目的跟风，我没办法拦你。得实际，难道非得要记下iptable的mangle，nat,filter表，然后再记nat下的链，再链下的参数。用shorewall不正也达到这些功能了吗？


ACCEPT target
DNAT target
DROP target
LOG target
MARK target
MASQUERADE target
MIRROR target
QUEUE target
REDIRECT target
REJECT target
RETURN target
SNAT target
TOS target
TTL target
ULOG target
这么多，你有闲功夫，慢慢记吧！我不是没研习过这东西，只是与shorewall相比，后者更实际，没有繁多的语法。
ACCEPT   net             dmz:192.0.2.177    tcp    http    #WWW from  如果换成iptables，你怎么办？
就像早期写html一样，在CSS没出来之前，如果要给每个<H1>改字体，得在每个h1里修改一下。出来了CSS，完成直接定义了

[ 本帖最后由 3645636 于 2008-8-6 08:32 编辑 ]

很可惜你沒有答對該需求。

--