适合MINIFW3.x.doc

适合MINIFW3.x 如何添加流量统计功能？ 下载iptraf.tgz ，然后复制到MINIFW启动盘的根下 操作如下：登陆MINIFW，退出MENU菜单后 cd / wget /update/iptraf.tgz 下载 tar –xvzf iptraf.tgz 展开 mount –t vfat /dev/boot /mnt 复制到启动盘 cp iptraf.tgz /mnt umount /mnt 不要忘记卸载启动盘。 2）如何将arp、netstat命令保存到root.tgz 文件中？ 操作如下：登陆MINIFW，退出MENU菜单后 cd /usr/sbin wget /arp chmod +x arp 如果使用MINIFW32已经内置ARP程序了 mount –t vfat /dev/boot /mnt cd /whs tar -xvzf /mnt/root.tgz cp /usr/sbin/arp usr/sbin tar –cvzf root.tgz * cp root.tgz /mnt umount /mnt 3）MINIFW30能限制所有的P2P软件吗？ 除非该软件使用80端口，否则都能限制，实际上我分析了40多个P2P软件，QQ、迅雷等使用80端口，其他的都不使用80端口，因此90％以上都能限制。 Iptables –t nat –A PREROUTING –s *.*.*.* -p tcp –dport ! 21 –j REDIRECT –to 8080 通过这个命令将所有TCP访问转向到8080进行WEB内容过滤。 你会发现你无法远程管理MINIFW了，为什么呢？自己分析能解决并提高对IPTABLES的认识。 4）MINIFW30能过滤那些东东呢？ 扩展名过滤：目前能过滤许多恶意网页内包含的CAB DLL等木马和插件，如果你还想过滤其他的扩展名。可防止多种格式下载,如MP3、RMVB、AVI、RAR、EXE、CAB. ?还可在Custom firewall rules file里,增加以下规则: echo .exe/usr/local/etc/dansguardian/bannedextensionlist 阻止下载exe文件,大部分网页木马无能为力!!!,依次类推,可阻止很多格式的下载，我默认了阻止DLL sh等想攻击WINDOWS的程序. P2P过滤：P2P软件一般都使用1000以上的端口，一般都能被8080端口过滤。 Iptables –t nat –A PREROUTING –s *.*.*.* -p tcp –j REDIRECT –to 8080 所有的TCP协议都转向过滤了，其中只有80端口可以通过。 PS:我的网络中 iptables –t nat -I PREROUTING –p tcp –dport 81 –j ACCEPT 因为我所在的教育网络中有使用81端口的，只好放行81端口。 色情过滤：我比外国人强的方面在于我知道中国人的色情语法，并不是我技术很高。 非常简短的关键词过滤80％以上的色情内容，效果非常好，性能高！而且外国人对GB2312的编码好像不认识，结果程序处理都有错误，我测试过原程序很难过滤中文关键字。 5）如何添加*.O网卡驱动文件。 复制网卡驱动*.o(如e100.o)到软盘根下(windows下做吧); 软盘启动MINIFW后退出MENU 操作如下: mount -t vfat /dev/boot /mnt cp /mnt/*.o /lib/modules chmod -x /lib/modules/*.o umount /mnt menu ,选择7: EDIT MODULES ,在最后一行按照规定格式增加一行e100, 再ctrl+q,回答y 保存文件;再选择W回写到软盘. Iptables的扩展模块也是这样添加。 6）如何增加DMZ? 首先完成网卡驱动的添加，如果可能使用相同网卡就不需要增加了 然后驱动该网卡，如下操作 3)在MENU菜单选择1: Main Configuration File LOCAL_IPADDR=9 LOCAL_NETMASK= LOCAL_BROADCAST=55 LOCAL_NETWORK= DMZ_IPADDR= (1) DMZ_NETMASK= (2) DMZ_BROADCAST=55 (3) DMZ_NE