對(duì)所有的Linux系統(tǒng)和網(wǎng)絡(luò)管理員來說，一個(gè)最基本的技巧是知道如何從頭開始編寫一個(gè)強(qiáng)健的iptables防火墻，并且知道如何修改它，使其適應(yīng)多種不同的情況。然而，在現(xiàn)實(shí)世界中，這看起來似乎少之又少。對(duì)iptables的學(xué)習(xí)并非是一個(gè)簡單的過程，不過筆者在這里向您推薦外網(wǎng)上如下資料，這樣使用起來你就得心應(yīng)手了。

筆者認(rèn)為所有的管理員都應(yīng)徹底地理解Iptables，不過，另外一個(gè)可選擇的方法是運(yùn)用出色的Linux防火墻生成工具。

Firewall Builder

第一個(gè)出場(chǎng)的便是Firewall Builder，這是一個(gè)完善的多平臺(tái)的圖形化的防火墻配置和管理工具。它運(yùn)行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通過設(shè)計(jì)，它將規(guī)則設(shè)計(jì)的細(xì)節(jié)隱藏起來，而著重于編寫策略。不過，不要在你真實(shí)的防火墻上運(yùn)行防火墻生成器，因?yàn)樗枰猉 Windows。你需要將其運(yùn)行在一臺(tái)工作站上，然后將腳本復(fù)制到防火墻上。

Firestarter

第二位是Firestarter，它是一款優(yōu)秀的圖形化的防火墻生成向?qū)?，它可以引?dǎo)你一步一步地通過構(gòu)建防火墻的過程。對(duì)于與局域網(wǎng)共享唯一公共IP地址的NAT防火墻來說，這是一個(gè)不錯(cuò)的選擇，并且在防火墻之后，它還有一些公共服務(wù)，或者一個(gè)分離的DMZ。它擁有打開或關(guān)閉防火墻的一些簡易命令，可以查看狀態(tài)視圖和當(dāng)前的活動(dòng)。你可以將其運(yùn)行在一臺(tái)headless計(jì)算機(jī)上，并遠(yuǎn)程監(jiān)視之，或者將其用作一個(gè)獨(dú)立的防火墻。

Shorewall

第三位Shorewall是一個(gè)流行的防火墻生成器;它比Firestarter更加復(fù)雜和靈活，并且它適合用于更加復(fù)雜的網(wǎng)絡(luò)。Shorewall的學(xué)習(xí)曲線類似于iptables，不過，其文檔資料豐富，并且提供提供不同情況的解決方法指南，如單一主機(jī)防火墻，兩接口和三接口防火墻，以及擁有多個(gè)公共IP地址的防火墻等等。你可以獲得許多關(guān)于過濾P2P服務(wù)的幫助，如Kazaa速率限制、QqS(質(zhì)量服務(wù))、VPN轉(zhuǎn)移歸向等內(nèi)容。

我們向你推薦這三個(gè)軟件的目的是讓你不用花錢購買商業(yè)的防火墻軟件，后者無論如何不如內(nèi)置的Linux和Unix包過濾器。用戶應(yīng)該將有限的資金用于購買更高質(zhì)量的硬件上。