方案五　以以太网地址为对象,允许部分计算机向本机的远程登录,允许其他计算机向本机普通用户的远程传输数据。

　　设置方法　设置步骤如下：

　　(1)参照方案三中的(1)、(2)两步的做法进行设置。

　　(2)把/etc/profile文件修改成以下内容

　　trap “”1 2 3

　　umask 022

　　fhq=‘netstat －n|grep ESTABLISHED|awk ’{print ＄5}'|cut －f1－4 －d. |head －1'

　　fhq=“(”＄fhq“)”

　　ether=‘arp －a |grep ＄fhq |head －1|awk’{print ＄4}''

　　ether=“(”＄ether“)”

　　fhqchk=‘grep ＄ether /etc/.safe'

　　if [“＄ether”=“＄fhqchk”]

　　then

　　echo

　　else

　　echo “警告:你的以太网地址为＄ether禁止非法登录!”

　　exit

　　fi

　　case “＄0” in

　　－sh | －rsh | －ksh | －rksh | /etc/profile)

　　[“X＄HUSHLOGIN”!=“XTRUE”] ＆＆ [ －s /etc/motd ] ＆＆ {

　　trap : 1 2 3

　　echo“”＃ skip a line

　　cat /etc/motd

　　trap“”1 2 3

　　}

　　if [“X＄HUSHLOGIN” !=“XTRUE”]

　　then

　　[ －x /usr/bin/mail ] ＆＆ { ＃ if the program is installed

　　[ －s “＄MAIL” ] ＆＆ echo “\nyou have mail”

　　}

　　if [“＄LOGNAME”!=“root” －a －x /usr/bin/news ] ＃ be sure it's there

　　then news －n

　　fi

　　fi

　　;;

　　－su)

　　:

　　;;

　　esac

　　trap 1 2 3

　　(3)创建/etc/.safe文件,加入允许登录的计算机的以太网地址,一个地址占一行,格式如下所示

　　(0:90:27:d3:b3:21)

　　(0:80:c8:e0:43:8e)

　　(4)执行下列命令

　　chmod a－w /etc/shcheck /etc/.safe

　　chmod u＋x /etc/shcheck

　　chmod 0100 /bin/su

　　特点　以太网地址是计算机硬件地址,是每台计算机唯一确定的,而IP地址在一台计算机中可以有两个或更多,所以以以太网地址为对象对远程登录和远程传输数据进行过滤比用IP地址为对象要安全得多。

　　以上五种方案都已在Unix3.2/4.2和SCO Open Server5.0.4中测试通过,Unix系统管理者可以根据自己机器的实际情况从中任选一种建立Unix防火墙体系。以上方案中第三种和第四种应用较广,需要注意的是:如果选择了第三、第四和第五种方案,那么最好在多台相互间需要用telnet、login、ftp方式登录而又不允许其他计算机登录的机器上同时设置,从而组成一个局部的防火墙内控系统,以防止其他计算机非法间接登录,即先登录到已定义的计算机,再通过已定义的计算机最终登录到目标计算机。