教教你用Linux 防火墙保护你的ADSL连接

新客网 XKER.COM 2008-01-05 来源：新客网搜集整理华江收藏本文

4）启动防火墙

最后系统会提示你配置结束。按“保存”按钮退出向导后防火墙启动。如下图。

按“保存”按钮退出向导后防火墙启动

5）配置ICMP包过虑

如下图。

配置ICMP包过滤

ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。假如你选择容许ICMP包过滤，这里简单介绍一下各选项的作用，见下表。

ICMP协议内容简介

类型	名称	作用
0	回波应答(Echo Reply)	用于探测和DoS
3	不能到达目的地(Destination unreachable)	提高性能，用于探测
4	源结束(Source Quench)	提高性能
5	重定向(Redirect)	提高本地性能，本地DoS
8	回波(Echo)	用于探测和DoS
9	路由器公告(Router dvertisement)	仅用于本地
10	路由器选择(Router Selection)	仅用于本地
11	超时(Time Exceeded)	用于路由跟踪和探测
12	参数问题(Parameter Problem)	报告数据包包头错误，用于探测
13	时间戳(Timestamp)	用于探测
14	时间戳应答(Timestamp Reply)	可用于探测
15	信息请求(Information Request)	废弃
16	信息应答(Information Reply)	废弃
17	地址掩码请求(Address Mask Request)	用于本地探测
18	地址掩码应答(Address Mask Reply)	仅用于探测路由器的应答
30	路由跟踪(Traceroute)	可以替代路由跟踪命令

有严重危害的ICMP类型

除Ping以外，其他类型的ICMP也可以用于扫描网络。ICMP的时间戳(Timestamp，类型13) 会产生一个时间戳应答（Timestamp Reply，类型14），但是只有在Unix系统中才出现这种情况，微软的IP堆栈中没有此项功能。因此，根据对时间戳请求的应答，不仅可以知道目的系统的主机是激活的，而且还能知道目的主机是否采用了微软的操作系统。

一些安全意识强的组织往往会在防火墙配置中全面过滤入站的ICMP消息，这种情况下ICMP 探测就会失效；然而，大多数网络配置都不会对ICMP 消息进行全面过滤，这是因为网络治理员经常要使用ICMP 消息来解决网络的一些故障。ICMP其实很简单。其初衷是使IP网络平滑地工作。对于那些对安全性要求不高的网络，或者不需要防止端口扫描的网络，可以不考虑有关ICMP的问题。然而，对于安全性至关重要的网络，则只能让尽可能少的ICMP类型通过防火墙。在你认为需要的ICMP协议的选项打钩后用鼠标选择“接受”。下图是 Firestarter 防火墙工作界面。

Firestarter 防火墙工作界面

共5页: 上一页 [1] [2] [3] [4] [5] 下一页

上一篇：永不停息的战争如何清除网上流氓软件下一篇：[组网宝典]排除ADSL故障让上网更轻松

【收藏】【评论】【推荐】【投稿】【打印】【关闭】