我正在寻找一个可以通过 HTTP 或 SSH 实现的简单解决方案。
我需要执行以下基本任务:
- NAT/路由器
- 拒绝除预定义的 TCP 和 UDP 端口和端口范围之外的所有传入连接
- ESTABLISHED/RELATED 应该默认工作
- 默认允许传出连接
- 将某些端口委托给网络内的特定主机(虚拟服务器)示例:80 - HTTP 服务器,51413 - torrents
答案1
如果您已经在使用 webmin 或 cpanel,那么我会说 CSF&LFD 是最好的之一,它还具有进行暴力破解保护和其他智能阻止和警报的额外功能。http://configservers.org/cp/csf.html
答案2
你可以试试岸墙。它是 iptables 的前端,功能非常强大。
它符合您的要求。
答案3
简短的答案是,它已捆绑在您的发行版中 - 这样您就不必担心不同的工具会尝试以不同的方式设置防火墙。您不想听到的答案是 iptables 命令是最好的前端 - 因为它始终向您展示防火墙的确切配置方式 - 而不是一些抽象表示,然后将其映射到一组 iptables 规则。
我以前用过 firestarter(但只是在之后)移除任何用于操作防火墙的捆绑脚本/工具)并喜欢它的简单性 - 但它是一个 X Window 工具。
如果你正在运行 ssh 服务器,那么 fail2ban基本的- 因此您需要研究您使用的任何工具如何与 fail2ban 配合使用。
答案4
更新:
经过更多的观察之后,我的选择很明确:构建器,又名 Firewall Builder。我以前听说过,但看了网站后,一直以为是商业产品。但后来发现,Linux 程序是免费开源的,只有 MS Windows 和 Mac 程序是闭源且需要付费。
它的工作原理与 Firestarter 类似,您可以在工作站上运行它,然后它使用 ssh 和 scp 将配置传输到目标防火墙。我喜欢这个,因为这意味着您不必安装任何额外的东西,而且防火墙上也没有额外的运行守护程序。
老的:
纵火者。我还没有用过它,但它看起来最有趣,也是我会首先尝试的一个。
来自介绍页面:
Firestarter 可以安装到单独的服务器上,并通过 SSH 或使用 shell 以图形方式进行管理。
或者 ufw,可能与 Gufw 一起使用,这是 Ubuntu 上的标准。
更新:似乎有 Turtle Firewall,它是 Webmin 中包含的 iptables 前端的独立版本。与 Firestarter 不同,它仍在维护。