linux透明防火墙配置详解

一般而言,防火墙的两个网络接口应分属两个不同的网络,根据系统管理员定义的访问规则在两个接口之间转发数据包,或者拒绝、丢弃数据包。实际上,防火墙不单单是访问控制的功能,而且还充当了路由器的角色。当然,这并非有什么不妥当的地方,但是当你企图把你配置好的linux防火墙放入运行网络,来保护现有系统安全的时候,你不得不重新考虑和更改你的网络架构。另外一个可能的麻烦是,当防火墙发生意外时,如果没有防火墙的硬件备份的话,那么你将面临巨大的心理压力,因为防火墙的故障,整个网络瘫痪了。假如你把防火墙配置成透明模式(可称为伪网桥),就无需更改网络架构,即使是防火墙不能工作了,要做的仅仅是拔出网线,把网线直接插在路由器的内部接口就可以让网络正常工作,然后你就有时间慢慢恢复发生故障的防火墙。

好了,既然透明防火墙有那么多方便,我们赶快动手来配置吧!准备一台pc机,两块网卡(建议用3com网卡),网线若干,redhatlinux9安装盘一套。打开机箱,把两块网卡插入计算机的pci插槽,用网线把计算机分别与网关和交换机相连(如前页图“正常状态”那样);盖上计算机的盖子,插上电源,开机。在光驱里放上Linux9安装光盘,由光盘引导计算机,从而安装Linux系统。选择定制安装,不要保守,多花一点时间体验一下图形界面的安装乐趣,取消防火墙(nofirewall),在安装快结束时选择以文本方式登录系统,完成安装。

透明防火墙功能配置:

1、设置网络地址。修改文件/etc/sysconfig/network-scripts/ifcfg-eth0和/etc/sysconfig/network-scripts/ifcfg-eth1,使其具有相同的ip地址,相同的子网掩码。

用vi来编辑如下,保存文件,运行命令servicenetworkrestart使修改生效。

DEVICE=eth0

BOOTPROTO=none

BROADCAST=192.168.1.255

IPADDR=192.168.1.254

NETMASK=255.255.255.0

NETWORK=192.168.1.0

ONBOOT=yes

USERCTL=no

PEERDNS=no

TYPE=EthernetDEVICE=eth1

BOOTPROTO=none

BROADCAST=192.168.1.255

IPADDR=192.168.1.254

NETMASK=255.255.255.0

NETWORK=192.168.1.0

ONBOOT=yes

USERCTL=no

PEERDNS=no

TYPE=Ethernet

这里需要注意两个地方,第一个是要区分清楚那一个网卡是eth0,那一个是eth1.这个问题十分关键,如果搞混了就会导致防火墙不能连通网络。至于怎样区分eth0和eth1,我将在文章的末尾作简单的描述。在这里假定与路由器相连的网卡是eth0.

2、设置默认路由。在文件/etc/sysconfig/network-scripts/ifcfg-eth0中加入一行gateway=192.168.1.1保存后运行命令servicenetworkrestart,修改生效。找一个开放ICMP协议的公网IP,用命令ping202.108.36.196(http://www.163.com/的主机)检测跟外网的连通状况,如果正常,表明Linux防火墙主机跟外网配置正确。再用命令ping192.168.1.18检测防火墙主机与内网主机的连通状况,如果正常则进行下一步操作。

3、启用网络转发和proxy_arp。这是透明防火墙的核心部分,我把它们写进文件/etc/rc.d/rc.local。用vi/etc/rc.d/rc.local插入如下内容。

#Ipforward

/sbin/sysctl-wnet.ipv4.conf.all.forwarding=1

#Enableproxy-arp

/sbin/sysctl-wnet.ipv4.conf.eth0.proxy_arp=1

/sbin/sysctl-wnet.ipv4.conf.eth1.proxy_arp=1

在做这一步的时候,我曾经花费较多的时间,因为我做参考的那本书里的这一步没有参数“–w”,后来单独运行sysctlnet.ipv4.conf.eth0.proxy_arp=1才发现redhatLinux9没有参数“-w”不能运行。

4、指定路由。由于两块网卡(eth0,eth1)使用同样的ip,如果不专门指定转发路径,一定会导致路由混乱,从而使防火墙以内的计算机没法访问Internet。还是用命令vi修改文件/etc/rc.d/rc.local,插入如下几行。

#Defineroute

/sbin/iproutedel192.168.1.0/24deveth0

/sbin/iprouteadd192.168.1.1deveth0

/sbin/iprouteadd192.168.1.0/24deveth1

保存文件,重新启动计算机/Linux防火墙,如果不出意外,就可以从192.168.1.18这台主机访问Internet,当然内网的任何机器都是可以访问Internet的。在这里对定义的路由(Defineroute)作些说明:/sbin/iproutedel192.168.1.0/24deveth0表明所有到子网192.168.1.0/24的数据包都不从网卡eth0转发而从eth1转发,即命令/sbin/iprouteadd192.168.1.0/24deveth1;/sbin/iprouteadd192.168.1.1deveth0表明所有到192.168.1.1的数据包都由eth0转发,这其实可以理解为两个网卡数据转发的分工—到192.168.1.1的数据包由eth0负责,其余的由eth1负责。到这一步,恭喜你!已经成功了一大半,如果安装Linux的时候,选择的防火墙规则为中等级别,那么这个防火墙已经配置成功了。相信大家跟我一样,且肯就此罢休。

时间: 2024-10-15 05:46:55

linux透明防火墙配置详解的相关文章

ubuntu (linux)iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

linux下IPTABLES配置详解

转自:http://www.cnblogs.com/duanxz/p/3994846.html 一.检查iptablesservice iptables status若提示为iptables:unrecognized service,则需要安装.VPS.GL提供的Linux系统都已经安装了iptables防火墙.同时,为了适应广大使用Linux朋友的需要,这里就告诉大家安装步骤.二.快速安装iptables apt-get install iptables  //Debian,Ubuntu使用此

CentOS / Redhat 上的 Iptables 防火墙配置详解

1. Iptables 配置文件¶ RHEL / CentOS / Fedora Linux 发行版中默认的配置文件是: /etc/sysconfig/iptables – 系统执行脚本通过读取该文件来激活防火墙功能. 2. 基本操作:显示默认规则¶ 在命令行窗口输入下面的指令: iptables --line-numbers -n -L 其中 –line-numbers 参数表示给每行规则前面加个编号: -n 表示以数字形式显示 IP 地址和端口等内容:-L 表示列出所有链(chain)中的规

Linux下Squid配置详解

本文介绍Linux下非常著名.常用的Squid代理服务器的使用,并着重讲述如何使用其提供的访问控制策略,来保证代理服务器的合法使用. 代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站.随着代理服务器的广泛使用,随之而来的是一系列的安全问题.由于没有对代理服务器的访问控制策略作全面细致的配置,导致用户可以随意地通过代理服务器访问许多色情.反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便. Squid是Linux下一个缓存Internet数据的代理服务器软件,其接收

宽带ADSL防火墙配置详解

如今是黑客平民化的时代,呆在自己家里上网都有可能会"中枪",时不时的攻击你一下,一定会让你头大.好在许多的宽带猫都内置了防火墙功能,只要我们开启该功能,就可以让我们的ADSL上网更加安全,更加有保障. 一.登陆宽带猫. 登陆宽带猫的方法很多,为了便于文章说明,我们这里以所见即所得的WEB管理方式登陆. 打开IE浏览器,在地址栏内输入宽带猫的IP后按回车键,出现如图1所示的登陆框,输入用户名和密码后单击"确定"按钮.这时我们就可以看到宽带猫的配置界面了. 提示:宽带猫

Linux下Squid配置详解 Squid代理服务器配置第1/3页_Linux

代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站.随着代理服务器的广泛使用,随之而来的是一系列的安全问题.由于没有对代理服务器的访问控制策略作全面细致的配置,导致用户可以随意地通过代理服务器访问许多色情.反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便. Squid是Linux下一个缓存Internet数据的代理服务器软件,其接收用户的下载申请,并自动处理所下载的数据.也就是说,当一个用户想要下载一个主页时,可以向Squid发出一个申请,要Squid代替其进行下

RStudio Linux Server安装配置详解说明

RStudio下载地址: http://rstudio.org/download/ 安装RStudio 工具之前需要先安装好R,关与linux 下R的安装,参考:  R 语言Linux 环境 安装 说明 http://blog.csdn.net/tianlesoftware/article/details/7317725 安装 RStudioServer 版本: [root@rac1 R_Language]# rpm -Uvhrstudio-server-0.95.262-x86_64.rpm

Arch linux操作系统网络配置详解

介绍一下如果进行网络配置. [root@Arch ~]# ls /sys/class/net/    #查看有哪些可用网络 eno16777736  lo [root@Arch ~]# ip addr add 1.1.1.21/24 dev eno16777736    #给接口eno16777736配置ip为1.1.1.21 子网掩码位255.255.255.0 [root@Arch ~]# ip link set eno16777736 up    #启动网卡,不然无法启动相关路由 [roo

Win8高级安全Windows防火墙配置详解

Win8高级安全windows防火墙 此图为高级安全windows防火墙打开后界面,与win7一样. Windows 8针对每一个程序为用户提供了三种实用的网络连接方式: - 允许连接:程序或端口在任何的情况下都可以被连接到网络. - 只允许安全连接:程序或端口只有IPSec保护的情况下才允许连接到网络. - 阻止连接:阻止此程序或端口的任何状态下连接到网络. 三种方式一眼便知,只要你设定了某程序为"阻止连接"状态,该程序自然也就从此无法连入网络,想要自动更新或是联网工作那是不可能的事