《linu透明防火墙(网桥模式)》由会员分享,可在线阅读,更多相关《linu透明防火墙(网桥模式)(9页珍藏版)》请在金锄头文库上搜索。
1、一、网络结构在现有网络中增加防火墙,主要作用为控制内部上网等等。要求可以灵活控制, 包括时间段不同控制,流量限制等。现有网络拓扑图:f90内胸凰务器办誉室办舍区PC由于安装防火墙时要求不需要修改内网服务器和PC机配置,所以采用透明防 火墙(网桥模式)。修改后拓扑图:互联网0Vin内阿服計器好舍宣p /etc/modprobe.conf.dist 4.修改默认启动内核vi /boot/grub/gurb.conf 修改默认启动内核为2.6内核,不要使用加有xen (虚拟技术)的内核。四、防火墙的实现1)配置网卡1. 网桥配置 brctl add br0 建立网桥 touch /etc/sysco
2、nfig/network-scripts/ifcfg-br0 建立网桥配置文件ifcfg-brOvi /etc/sysconfig/network-scripts/ifcfg-br0 DEVICE=br0TYPE=Bridge BOOTPROTO=staticIPADDR=0.0.0.0 ONBOOT=yes2. 添加网卡到网桥把ethl和eth2两网卡添加到网桥中。ethO 般为主板集成网卡性能不好,所以用作管理网卡初始化网卡ifconfigeth1 O.O.O.O upifconfigeth1 O.O.O.O up添加网卡到网桥brctl addif brO ethO eth1查看网桥信息
3、brctl show修改ethl网卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=ethlTYPE=EthernetBOOTPROTO=staticIPADDR=O.O.O.OONBOOT=yesBRIDGE=brO修改eth2网卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth2DEVICE=eth2TYPE=EthernetBOOTPROTO=staticIPADDR=O.O.O.OONBOOT=yesBRIDGE=brO3. 配置管理网卡修改eth0网卡配置文件vi /etc/s
4、ysconfig/network-scripts/ifcfg-ethODEVICE=ethOTYPE=EthernetBOOTPROTO=staticIPADDR=lO.O.254.252NETMASK=255.255.252.OGATEWAY=lO.O.254.254ONBOOT=yesBRIDGE=brO2)防火墙配置实施防火墙策略的一般过程是先禁止所有的转发数据帧或数据包通过,然后再根 据需要设定数据帧或数据包的过滤规则。1. 禁止所有iptables -F INPUTiptables -F FORWARDiptables -F OUTPUT清除iptables中全部规则iptables
5、 -P INPUT ACCEPTiptables -P FORWARD DROP iptables -P OUTPUT ACCEPT 修改默认策略2. 允许访问规则iptables -A FORWARD -p icmp -m limit - limit 4/s -j ACCEPT 允许icmpIptables -A FORWARD -d 10.0.254.0/255.255.255.0 - j ACCEPT 允许任何地址访问254网段Iptables -A FORWARD -s 10.0.2.36 - j ACCEPT 允许10.0.2.36访问任何地址3定时修改将访问列表写在一个shel l
6、脚本中,在cron tab -e中定时执行脚本。附Ebtables使用规则如下:ebtables -t table -ADI chain rule-specification match-extensions watcher-extensions-t table : 一般为 FORWARD 链。-ADI: A添加到现有链的末尾;D删除规则链(必须指明规则链号);I插入新 的规则链(必须指明规则链号)。-P:规则表的默认规则的设置。可以DROP,ACCEPT,RETURN。-F:对所有的规则表的规则链清空。-L:指明规则表。可加参数,-Lc,-Ln-p:指明使用的协议类型,ipv4,arp等可选(使用时必选)详情见 /etc/ethertypes-ip-proto:IP包的类型,1为ICMP包,6为TCP包,17为UDP包,在/et c/pro to cols下有详细说明- ip-src:IP包的源地址- ip-dst:IP包的目的地址- ip-sport:IP 包的源端口
