iptables防火墙配置工具ShoreWall进阶实用介绍

　　在上一篇iptables防火墙配置工具ShoreWall的安装和使用实例中，我们介绍了如何安装和使用ShoreWall工具来进行防火墙配置，在本篇文章中，将给大家介绍它的一些高级组件的使用实例。

　　一、进阶组件介绍

　　1、params

　　这是用来设定shell变量的一个档案，这个档案有点像是C语言中的include功能一样，把include进来的档案的变量放到现在这个档案中，只是在shorewall的设定档中，并不需要再使用include来引入，params这个档案的目的在于将所有相关的变量都统一设定在里面，当您的规则全都设定好了之后，只要变更params的内容就可以套用在别的网络状态，管理起来非常的方便，以下就是一个例子：

在/etc/shorewall/params中的设定：
NET_IF=eth0 NET_BCAST=130.252.100.255
NET_OPTIONS=blacklist,norfc1918
在/etc/shorewall/interfaces中的设定：
net$NET_IF$NET_BCAST$NET_OPTIONS

　　这样子的话，其它的规则就都可以使用变量的方式来写，所以说规则只要写一次，就可以重复的使用啰！

　　2、rules

　　这个档案是整个shorewall的重点档案，policy档案的目的在于制定整个防火墙政策，比方说loc这个接口对dmz这个接口的政策是REJECT或是ACCEPT等，通常由防火墙外至内部网络的政策都是全部先设定为关闭的。而rules这个档案则是在制定一些【例外】的状况，比方说，您的防火墙将所有的port都给关闭了，以至于从外不能由ssh连结进来，那么这个时候就可以在rules这个档案中来定义，它的格式如下所示：

#ACTIONSOURCEDESTPROTODESTSOURCEORIGINAL
#PORTPORT(S)DEST
DNAT fw loc:192.168.1.3 tcp ssh,http