收藏
下载资源

linux架设简单透明防火墙

上传人:s9****2 文档编号:458229643 上传时间:2023-04-20 格式:DOCX 页数:10 大小:17.85KB
返回 下载 相关 举报
linux架设简单透明防火墙_第1页
第1页 / 共10页
linux架设简单透明防火墙_第2页
第2页 / 共10页
linux架设简单透明防火墙_第3页
第3页 / 共10页
linux架设简单透明防火墙_第4页
第4页 / 共10页
linux架设简单透明防火墙_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《linux架设简单透明防火墙》由会员分享,可在线阅读,更多相关《linux架设简单透明防火墙(10页珍藏版)》请在金锄头文库上搜索。

1、linux 架设简单透明防火墙很多兄弟想必都用过linux做过nat服务器和防火墙,然而现在大部分防火墙搭建的介绍文档都是要进行一次nat ,这就导致我们不得不改变现有的网络结构:比如不得不把原先直接放在外网、公网上的服务器变成内网的ip ,经过nat转换之后才能设定防火墙策略。而且使用了 iptables的nat功能后,p2P的服务基本就无法进行了,因为 p2p 服务在 nat 的条件下基本无法运行,具体的我就不说了,因为无法对服务器建立主动连接什么的造成的可以去研究协议。实际上我们可以很方便的实现透明防火墙,这样就不用担心上面的问题了,现有的透明防火墙的介绍也大多是redhat7.2 时代

2、,基于 2.4.X 内核的版本,和现在想必恐怕也有些落伍土周我用rhel4,内核版本2.6.9作了一次测 试,基本成功,这里给大家介绍一下。首先你得用新一些的发行版本,比如rhel4 (俗称的企业版4.0)或者rhfc4(就是redhat FC4啦),老版本的会不会有问题我没有试过如果是新学不 久,还是用新版本吧,毕竟新版本的iptables功能更强不过学起来也更麻烦 些(当然基本的功能还是可以借鉴那些老的教程),新特性基本都得自己看英文说明学习。另外你这台机器是双网卡的没错吧?起码装了系统并且保证两块网卡本来都可以正常连通(这些问题我就不在多说了)检查一下你是否安装了下列软件包:bridge

3、-utils-1.0.4-4.i386.rpmbridge-utils-devel-1.0.4-4.i386.rpm版本不一定要一样,但是基本相同。如果安装不上看看提示,可能缺少其他的软件包支持,比如我安装的时候,就告知要安装软件包:sysfsutils-1.2.0-1.i386.rpm没什么,先安装他好了。安装完毕后,就可以开始设置我们的透明防火墙了(其实就是让这台机器变成一个网桥,然后用我们熟悉的 iptables 进行防火墙策略的设定就可以)。添加桥设备:brctl addbr br_test( br_test 是我随便起的名字,你也可以用 br_0 之类的)brctl addif br

4、_test eth0brctl addif br_test eth1把 eth0 和 eth1 都加到桥中。ifconfig eth0 downifconfig eth1 downifconfig eth0 0.0.0.0 upifconfig eth1 0.0.0.0 up重新启动网卡有的时候可能用 ifconfig eth0 0.0.0.0 up和 ifconfig ethl 0.0.0.0 up 不起作用, 可以考虑用这两句代替一下看看 ifconfig eth0 0.0.0.0 promiscifconfig eth1 0.0.0.0 promisc这样两块网卡就工作在混杂模式下了(有

5、人说有用,有人说没用,你要是有条件,都试试,我因为工作原因,没能仔细的试验)ifconfig br_test 192.168.10.3 uproute add default gw 192.168.10.1给自己的桥设备配置ip 地址,你可以设成你自己的,并加上默认网关。开启 ip 转发功能。 ok 到这里,你的网桥就配置好了,然后开启 iptables 防 火墙,设置你的策略吧。不过从前所有的对设备eth0 和 eth1 的限制现在都改成对桥设备br_test 的限制了。记住iptables 的特点,如果数据只是要通过防火墙,则在filter 链上进行过滤设置,如果要进入防火墙(比如你要配置

6、防火墙,就算是要进入),则在 input 和 output 链上进行配置。就说这些了,祝各位兄弟好运,能一次配置成功哦!这样我们的工作会方便很多的!七夕银河转载请注明网盟。原文我发在linux 版了,不过考虑这里可能更需要一些。透明网桥防火墙在大型网络环境中透明网桥防火墙用得非常普遍,它的好处是可以把内网的网关设在防火墙外面。特别适合用做服务器区,一款商业防火墙如果不支持透明模式就说明这个防火墙不是很成熟。很多开源的防火墙如 PFSENSE、M0N0WALL等只能支持半透明模,对于全透明模式可能要等到PFSENSE2.0以后的版本才能支持。不过IPTABLE就可以支持全透明模式。安装透明网桥1

7、 :通过 brtcl 安装配置好透明网桥,并形成桥口 eth0、ethl和路由口 test,如下:rootdemo1 # /usr/sbin/brctl addbr testrootdemo1 # /usr/sbin/brctl addif test eth0rootdemo1 # /usr/sbin/brctl addif test eth1rootdemo1 # /sbin/ifconfig test uprootdemo1 # /sbin/ifconfig -aeth0Link encap:CE:CD:17eth1Link encap:D5test Link encap:CE:CD:17

8、2 : brctl 命令详解# brctladdbr add bridgedelbr delete bridgeaddif add interface to bridgedelif delete interface from bridgeshow show a list of bridgesshowmacs show a list of mac addrs setageing set ageing time setbridgeprio set bridge priority setfd set bridge forward delaysethello set hello time setmax

9、age set max message age setpathcost set path cost setportprio set port priority showstp show bridge stp info stp turn stp on/off两个关键概念:1 :透明网桥防火墙,从iptables 的角度看,实际上是单接口(路由接口)防火墙,好象单接口(test)接到一个HUB上,两个桥口( eth0,eth1)相当于HUB 口2:尽管类似单接口 FW,但仍能FORWARD可以理解为同一接口的重定向 redirect 三:配置 iptablesrootdemo1 # vi ipta

10、bles-start#! /bin/sh#DEFINE#LAN_INT=testWAN_INT=test内外网口都是同一接口#REFLASH#/sbin/iptables -F/sbin/iptables -t nat -F#DEFAULT POLICY#/sbin/iptables -P INPUT DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -P FORWARD DROP#Open ip_forward #INPUT CHAIN#/sbin/iptables -A INPUT -i $WAN_INT -m state -state R

11、ELATED,ESTABLISHED -j ACCEPT/sbin/iptables -A INPUT -i $WAN_INT -p tcp -dport 22 -j ACCEPT/sbin/iptables -A INPUT -i $WAN_INT -p tcp -dport 23 -j ACCEPT既然内外网口是同一接口 test那留一个即可#FORWARD CHAIN#/sbin/iptables -A FORWARD -i test -m state -state RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A FORW-p all -j

12、 ACCEPT注意:透明FW 最难处理的就是FORWARD普通的FW在FORWARDt是禁外允内,现在内外网都是同一逻辑接口( test) 了,就没有内外之分了,就只能按路由源地址来分只允许桥接口 eth1 这边的(即原来的内网)出去详解:什么是网桥网桥是一种在链路层实现中继,对帧进行转发的技术,根据MAC分区块,可隔离碰撞,将网络的多个网段在数据链路层连接起来的网络设备。Linux 网桥配置命令:brctl在 Linux 中配置网络一般使用 brctl 命令,使用此命令首先要安装:bridge-utils 软件包。inbidebian#apt-get install bridge-utils

13、inbidebian#modprobe bridge# 安装bridge-utils 软件包,并加载bridge 模块和开启内核转发。inbidebian#brctl# 直接输入brctl 命令将显示帮助信息!Usage:addbr add bridgedelbr delete bridgeaddif add interface to bridgedelif delete interface from bridgesetageing set ageing timesetbridgeprio set bridge prioritysetfd set bridge forward delaysethello set hello timesetmaxage set max message age setpathcost set path cost setportprio set port priority show show a list of bridgesshowmacs show a list of mac addrsshowstp show bridge stp info

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 营销创新

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号