suse FW 防火墙（SuSEfirewall2）使用说明

关于

SuSEfirewall2是动态网络数据包筛选器，也称为防火墙。它是一个脚本，它生成存储在/ etc / sysconfig / SuSEfirewall2文件中的iptables配置规则。SuSEfirewall2通过拒绝或阻止到达网络接口的某些有害数据包来保护您免受网络攻击。对于更高级的配置，防火墙提供了三个不同的区域，您可以向它们分配网络接口。这使SuSEfirewall2还能充当三个不同网络之间的网络路由器，或者是允许屏蔽Internet（或其他网络）的LAN服务器。

防火墙区域

SuSEfirewall2默认具有三个不同的区域：

• EXT-外部区域（即不受信任的Internet）
• INT-内部区域（完全信任，不进行过滤，LAN）
• DMZ-非军事区（用于应该可以从Internet访问的服务器）

通过将接口名称添加到FW_DEV_ 区域变量中，可以将网络接口分配给区域，其中zone是已配置区域之一。

例子：

FW_DEV_EXT =“ dsl0”
FW_DEV_EXT =“任何wlan0”
FW_DEV_INT =“ eth0 wlan1”

特殊字符串any可用于告诉SuSEfirewall将未在任何地方列出的所有接口分配给指定区域。默认情况下，所有未分配的接口都会自动分配给外部区域。

变量FW_ZONES可用于定义其他区域。例如，如果您不希望对WLAN中的外部区域进行限制性过滤，但又不完全信任WLAN，从而无法使用内部区域，则可以定义一个新区域：

FW_ZONES =“ wlan”
FW_DEV_wlan =“ ra0”

允许访问服务
每个防火墙区域都可以允许四种类型的服务

TCP- FW_SERVICES_EXT_TCP，FW_SERVICES_INT_TCP，FW_SERVICES_DMZ_TCP
UDP- FW_SERVICES_EXT_UDP，FW_SERVICES_INT_UDP，FW_SERVICES_DMZ_UDP
RPC- FW_SERVICES_EXT_RPC，FW_SERVICES_INT_RPC，FW_SERVICES_DMZ_RPC
IP- FW_SERVICES_EXT_IP，FW_SERVICES_INT_IP，FW_SERVICES_DMZ_IP

以下用EXT区域配置说明

配置方式1:Yast2->firewall

Yast2
例子：允许x.x.74.241访问所有端口；允许x.16.0.0/12访问udp50200；允许x.16.0.0/12访问tcp8445。

yast2 firewall

配置方式2:更改配置文件/ etc / sysconfig / SuSEfirewall2（推荐）

必须都写在一行，或者一个列表里

• 仅对端口或者服务访问进行控制（服务参考文件/etc/services）
  <端口 开始端口:最后一个端口>，每组端口之间使用空格隔开

例子：允许访问服务使用ssh、端口80、连续端口512到514（用冒号隔开）。
FW_SERVICES_EXT_TCP =“ ssh 80 512:514”

上面提到的允许访问服务的方式不是很严格，它允许还是不允许。可以设置参数以允许对服务进行更严格的访问。但是，当使用相同的端口时，

上面允许的服务的定义优先于下面提到的定义（优先匹配）

这些是：FW_SERVICES_ACCEPT_EXT， FW_SERVICES_ACCEPT_INT，FW_SERVICES_ACCEPT_DMZ

• 对源ip后目标端口进行限制。

  （如果不写表示所有）每组之间用空格隔开

例子：允许192.168.3.0访问所有端口；允许192.168.1.1访问tcp80；允许192.168.2.0/24访问udp123。

FW_SERVICES_ACCEPT_EXT="192.168.3.0 192.168.1.1,tcp,80 192.168.2.0/24,udp,123 "

redhat，centos 防火墙配置参考