9.2.5 使用图形界面管理主机防火墙规则

9.2.5 使用图形界面管理主机防火墙规则

为了使初学者也能构建iptables主机防火墙，在RHEL 5中，还为用户提供了配置主机防火墙的图形界面。在RHEL 5桌面环境下，选择“系统”|“管理”|“安全级别和防火墙”命令后，将出现图9-4所示的对话框。
在图9-4中，名为“信任的服务”的列表框中列出了常见的网络服务名称，前面打勾的服务所对应的网络端口是开放的，允许外界的用户访问。如果用户需要开放更多的端口，可以在列出的服务名称前的框内单击鼠标，打上勾后再单击“应用”按钮即可。
此外，窗口中还提供了启用或禁用防水墙的选择菜单，如图9-5所示。还有，如果在图9-4中单击了“其他端口”标签，将在下面出现如图9-5所示的一个列表框和“添加”、“删除”按钮，用于添加和删除“信任的服务”列表框中未列出的端口。





图9-4 防火墙设置对话框 图9-5 展开后的防火墙设置对话框
在图9-5中，如果单击“添加”按钮，将出现图9-6所示的对话框。此时，可以输入需要开放的端口号，并选择TCP或UDP协议，然后单击“确定”按钮，将返回到图9-5所示的防火墙设置对话框，然后在“其他端口”列表框中将出现所添加的端口号和协议名称。单击“删除”按钮可以删除列表框中选中的端口。为了使添加或删除端口生效，需要单击图9-5中的“应用”按钮，此时将出现图9-7所示的对话框，要求用户确认该操作。





图9-6 添加端口 图9-7 确认修改防火墙设置
以上是通过图形界面管理主机防火墙规则，实际的结果和命令方式是一样的。例如，如果刚才在图9-6所示的窗口中输入8080端口并选择TCP协议，然后再到终端查看防火墙中的规则时，将会发现如下结果。

[root@localhost sysconfig]# iptables -L --line-number
…
11 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
12 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
13 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:webcache
14 REJECT all -- anywhere anywhere reject-with icmp-host-
prohibited
#

从以上结果可以看出，与初始的设置相比，规则13原来是没有的，它是刚才通过图形界面操作后添加的。也就是说，刚才的图形界面操作相当于输入了以下命令。

iptables -I RH-Firewall-1-INPUT 13 -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
%说明：实际上，RHEL5提供的防火墙图形界面管理功能非常有限，远不如命令方式功能丰富。