ファイアウォールは、信頼されたネットワークと信頼されていないネットワークとの間のセキュリティの壁を確立するソフトウェアまたはハードウェア製品です。 Linuxオペレーティングシステムのカーネルにはパケットフィルタリング機能があり、システム管理者は管理ツールを使用して、あるネットワークカードから別のネットワークカードに送受信されるパケットまたはホストをフィルタリングするための一連のルールを設定できます。このパッケージは、高価な専用ファイアウォールハードウェアをアイドル状態のPCに置き換えることができます。これは、一部の中小企業や部門のユーザーにとって参考になる価値があります。まず、ファイアウォールの種類と設計戦略ファイアウォールを構築する際には、パケットフィルタリングとアプリケーションプロキシサービスという2つの方法がよく使用されます。パケットフィルタリングとは、パケットフィルタリングルールの設定をいい、これらのルールとIPヘッダの情報に基づいて、パケットを許可するか拒否するかを決定します。 FTPの使用は許可または禁止されていますが、FTP固有の機能（GetやPutの使用など）を無効にすることはできません。アプリケーションプロキシサービスは、イントラネットとエクストラネットの間に配置されたプロキシサーバーによって完成され、アプリケーション層で機能し、送受信ネットワーク（FTPやTelenetなど）に対するさまざまなサービス要求をプロキシ処理します。現在、ファイアウォールは通常、デュアルホームファイアウォール、スクリーンホスト（ScreenedHostFirewall）、およびスクリーンサブネット（ScreenedSubnetFirewall）を使用しています。デュアルホームアーキテクチャは、プロキシサービスタスクを引き受けるコンピュータの少なくとも２つのネットワークインタフェースが内部ネットワークと外部ネットワークとの間に接続されることを意味する。シールドホスト構造は、プロキシサービスタスクを引き受けるコンピュータがイントラネットのホストにのみ接続されていることを意味します。保護されたサブネット構造は、保護されたホストの構造に追加のセキュリティ層を追加します。これにより、境界ネットワークが追加され、さらに内部ネットワークと外部ネットワークが分離されます。ファイアウォールルールは、どのパケットまたはサービスが許可または拒否されるかを定義するために使用されます。 1つはアクセスを最初に許可してから拒否された項目を示すこと、もう1つは最初にアクセスをすべて拒否してから許可された項目を指定することです。一般的には、2番目の戦略を採用します。論理的な観点からは、ファイアウォールで小さなルールリストを指定するとファイアウォールを通過させることができるため、大きなリストを指定するよりもファイアウォール経由で実装する方が簡単です。インターネットの開発という観点からは、新しいプロトコルとサービスが出現し続けており、これらのプロトコルとサービスがファイアウォールを通過することを許可する前に、セキュリティの脆弱性を検討する時間があります。第二に、Linuxベースのオペレーティングシステムファイアウォールの実現Linuxベースのオペレーティングシステムベースのファイアウォールは、パケットフィルタリングファイアウォールと、そのカーネルのパケットフィルタリング機能を使用して構築されたパケットフィルタリングおよびプロキシサービスで構成される複合ファイアウォールです。デュアルホストのLinuxベースのファイアウォールを設定する方法を見てみましょう。 Linuxのカーネルは異なるので、提供されるパケットフィルタリングを設定する方法は異なります。 IpFwadmはUnixのipfwに基づいており、Linux 2.0.36より前のカーネルでのみ動作します; Linux 2.2以降ではIpchainsが使用されます。 IpFwadmとIpchainsも同様に機能します。それらで設定された4つのチェーンのうち、3つがLinuxカーネルの起動時に定義されます：InputChains、OutputChains、およびForwardChains、さらにユーザー定義のチェーン。 （UserDefinedChains）エントリチェーンは着信パケットのフィルタリングルールを定義し、発信チェーンは発信パケットのフィルタリングルールを定義し、転送チェーンはパケットを転送するためのフィルタリングルールを定義します。ネットワークカードからパケットが着信すると、カーネルは着信チェーンの規則を使用してパケットのフローを決定し、許可されている場合は、次にパケットがどこに送信されるかを決定します。別のマシンに送信されると、カーネルは転送チェーンの規則を使用してパケットのフローを決定し、パケットが送信される前に、カーネルは送信チェーンの規則を使用してパケットのフローを決定します。特定のチェーン内の各ルールを使用してIPパケットが決定され、最初のルールと一致しない場合は次のルールがチェックされ、一致するルールが見つかると、そのルールはパケットのターゲットを指定します。ターゲットは、ユーザー定義のチェーン、または「承認」、「拒否」、「拒否」、「戻る」、「マスク」、および「リダイレクト」です。その中でも、Acceptは許可を意味し、Denyは拒否を意味し、Rejectは受信パケットを廃棄するが送信者へのICMP応答を生成し、Returnはルール処理の停止、チェーンの終わりへのジャンプ、Masqはユーザ定義チェーンと発信チェーンを意味しますその役割はカーネルがこのパッケージを装うようにすることです; Redirectは入ってくるチェーンとユーザ定義のチェーンでのみ動作するので、カーネルはこのパケットをローカルポートにリダイレクトします。 MasqとRedirectが機能するためには、カーネルをコンパイルするときにConfig_IP_MasqueradingとConfig_IP_Transparent_Proxyを選択できます。インターネットに接続するためのLANがあるとすると、パブリックネットワークアドレスは202.101.2.25です。イントラネットのプライベートアドレスは、RFC 1597で指定されているように、クラスCアドレス192.168.0.0から192.168.255.0を使用します。説明の便宜上、３台のコンピュータを例に取ります。実際、最大254台のコンピュータに拡張できます。 1. 2つのネットワークカードech0とech1を1つのLinuxホストにインストールし、内部ネットワークプライベートアドレス191.168.100.0をech0ネットワークカードに割り当ててイントラネットに接続し、パブリックネットワークアドレス202.101をech1ネットワークカードに割り当てます。インターネットへの接続に使用される.2.25。 2. Linuxホストでエントリ、転送、送信、およびユーザー定義のチェーンを設定します。この記事では、最初にすべての情報を送受信し、パケットを転送することを許可しますが、IPスプーフィングパケット、ブロードキャストパケット、およびICMPサービスタイプ攻撃パケットなどの危険なパッケージを禁止します。具体的な設定は次のとおりです。（1）すべてのルールを更新する（2）初期ルールを設定する（3）ローカルループルールを設定するローカルプロセス間のパケットの通過を許可します。 （4）IPスプーフィングを禁止する（5）ブロードキャストパケットを禁止する（6）ech0転送規則を設定する（7）ech1転送規則を設定する規則を/etc/rc.firewallrulesファイルに保存し、chmodを使用して/etc内のファイル実行許可を付与します。システムの起動時にこれらの規則が有効になるように、/etc /rc.firewallrulesを/rc.d.rc.localに追加します。上記の手順の設定により、Linuxオペレーティングシステムに基づいてパケットフィルタリングファイアウォールを確立できます。それは簡単な設定、高いセキュリティと強い回復力、特にアイドル状態のコンピュータと無料のLinuxオペレーティングシステムを使用してファイアウォールの最小の投資と最大の出力を達成するという利点を持っています。さらに、TIS Firewall Toolkitフリーソフトウェアパッケージなどのプロキシサーバーを追加すれば、より安全な複合ファイアウォールを構築できます。