endian是一个可基于web配置的防火墙，2006年就知道它了，只是具体是怎么做的我也没有研究过，因为没有时间，最重要的是那时我根本不知道什么是防火墙，也不从来没有使用过linux(期末考linux的时候，我带了小抄)，现在琢磨起来应该也不会很难，但是可以自己实现一个拥有类似功能的，虽然很丑陋但是可以完成基本的web配置功能。

本次行动要用到的知识点有xml，xsl，php等等。xml是一种将数据和数据的表现形式分离的格式化文档格式，xml只关注数据的组织形式而不管最终如何显示，xsl是一种将XML转换成其他格式文档的编程语言，它根据xml这种纯数据可以得到任意格式的输出，具体得到哪一种格式就要看xsl如何写了，专门负责显示的开发人员不用再关注数据本身，只需要用心写xslt文件就是了。常见的输出格式有html，linux的.conf文本，windows的.ini文本等等，对于html的生成是很有意义的一个xml在web服务器可以直接返回给客户端，在返回的路上只要有xsl将它转化为html就可以了，可以随意转化成随意的html文件，比如不同语言，不同文化对应的不同的风格，但是数据都是同一份。下面是web配置页面生成的xml文件(conf.xml)：
<?xml version="1.0"?>
<Firewall xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Table name="filter">
<name>filter</name>  <!--一个tables-->
<Chian name="INPUT"> <!--一个tables的一条链-->
<Rule>  <!--一条链的一条规则-->
<Readonly>no</Readonly> <!--是否可更改或者删除-->
<Act>I</Act> <!--添加I，追加A，删除D-->
<Num>2</Num> <!--匹配序号，iptables会基于序号进行匹配-->
<Src_addr>192.168.1.7</Src_addr> <!--源地址-->
<Src_port>168</Src_port> <!--源端口-->
<Dst_addr>192.168.1.0</Dst_addr> <!--目的地址-->
<Dst_port>192</Dst_port> <!--目的端口-->
<Proto>tcp</Proto> <!--协议-->
<Interface>eth0</Interface> <!--网络接口-->
<Action>ACCEPT</Action> <!--iptables的target-->
<!--其它任意可以配置的参数-->
<Comment>aaa</Comment> <!--注释-->
</Rule>    
</Chian>            
</Table>
<Table name="nat">
<name>nat</name>
<Chian name="INPUT">
<Rule>
<Readonly>no</Readonly>
<Act>I</Act>
<Num>2</Num>
<Type>2</Type> <!--类型，有地址转换，端口映射等等-->
<Src_addr>192.168.1.7</Src_addr> <!--源地址-->
<Dst_addr>192.168.1.0</Dst_addr> <!--目的地址-->
<Interface>eth0</Interface> <!--起作用的网络接口-->
<Drection>1</Drection> <!--snat还是dnat-->
<Comment>aaa</Comment>
</Rule>    
</Table>
<Firewall>
下面是对应的xslt文件(parse.xslt)：
<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:fo="http://www.w3.org/1999/XSL/Format">
<xsl:output method="text" version="1.0"/>
<xsl:template match="Table">
<xsl:choose>
<xsl:when test="name= 'filter'"> <!--很简单的基本配置，很多参数没有用到-->
<xsl:for-each select="/Firewall/Table/Chian/Rule">
-<xsl:value-of select="Act" /> INPUT <xsl:value-of select="Num" /> -i <xsl:value-of select="Interface" /> -s <xsl:value-of select="Src_addr" /> -p <xsl:value-of select="Proto" /> -m <xsl:value-of select="Proto" /> -d <xsl:value-of select="Dst_addr" /> --sport <xsl:value-of select="Src_port" /> --dport <xsl:value-of select="Dst_port" /> -j <xsl:value-of select="Action" />
</xsl:for-each>
</xsl:when>
</xsl:choose>
<xsl:choose>
<xsl:when test="name= 'nat'">
<xsl:for-each select="/KOAL_SSL/Table/Rule"> <!--下面的通配并不完全，正确的做法应该用正则表达式去写，另外还要根据xml文件中参数确定某一项是否可选-->
-t nat -<xsl:value-of select="Act" /> POSTROUTING <xsl:value-of select="Num" /> -o <xsl:value-of select="Interface" /> -s <xsl:value-of select="Src_addr" /> -j SNAT --to <xsl:value-of select="Dst_addr" />
</xsl:for-each>
</xsl:when>
</xsl:choose>
</xsl:template>
</xsl:stylesheet>
接下来使用xalan命令根据xslt文件解析上面的xml文件，最终生成一个文本文件：
debian:/home/zhaoya/xslt# xalan -IN conf.xml -XSL parse.xslt
文本文件的内容为：
-I INPUT 2 -i eth0 -s 192.168.1.7 -p tcp -m tcp -d 192.168.1.0 --sport 168 --dport 192 -j ACCEPT
-t nat -I POSTROUTING 2 -o eth0 -s 192.168.1.7 -j SNAT --to 192.168.1.0

我们保存为firewall.conf，然后就可以用iptables执行了，实际上上述的工作并不是手工完成的，而是web来完成的。web服务器根据用户的web UI操作而生成xml文件，然后执行xalan命令，并且负责执行最终配置文件的中的iptables命令，如何用web完成就是php的事情了，这件事不是很难。

本文转自 dog250 51CTO博客，原文链接:http://blog.51cto.com/dog250/1271948