Linux防火墙下的应用策略路由

  假设,网络中有两个外部接口,IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略,将所有来自内部网络的web服务的数据,走向172.16.1.1这个出口。其他的数据走向 10.0.0.1 这个出口。

  #接口设置

  ifconfig eth0 172.16.1.1 netmask 255.255.255.0

  ifconfig eth1 10.0.0.1 netmask 255.255.255.0

  ifconfig eth2 192.168.1.1 netmask 255.255.255.0

  echo 1 >/proc/sys/net/ipv4/ip_forward

  #将web服务类的数据包打上标示100

  #这一步,很关键,用于实现策略路由的是iproute2工具包,但是iproute2工具包是无法根据端口来进行匹配的,因此,需要借助iptables来配合

  iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 100

  #增加多路由表 假设172.16.1.1 这一出口的网关是172.16.1.254

  ip route add 0/0 via 172.16.1.254 table 100

  #设置路由策略 凡是数据包标记位上是100的数据,查询100号路由表

  ip rule add fwmark 100 table 100

  #NAT 如果需要的话,进行NAT 不需要的话,就直接路由

  iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

  本文主要是说明了把iptables和iproute2协同以后可以做出很多很强的应用。你可以利用iptables强劲的对数据报的识别能力来将不同类型的数据包打上你自己定义的标示,然后利用iproute2的策略路由的功能来对路由进行人为的干预。

时间: 2025-01-24 18:58:41

Linux防火墙下的应用策略路由的相关文章

linux平台下防火墙iptables原理(转)

原文地址:http://www.cnblogs.com/ggjucheng/archive/2012/08/19/2646466.html iptables简介     netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能. iptables基础     规则(rules)其实就是网络管理员预定义的条件,规

网卡-linux vmware下的eth1和eth2配置不成功

问题描述 linux vmware下的eth1和eth2配置不成功 对一台vmare上的Linux 进行了如下配置: auto eth0 iface eth0 inet static address 192.168.0.21 gateway 192.168.0.1 netmask 255.255.255.0 dns-nameservers 192.168.0.1 auto eth1 iface eth1 inet static address 192.168.1.21 gateway 192.1

Linux防火墙伪装机制帮您抵抗恶意黑客

  防火墙可分为几种不同的安全等级.在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力.不过,Linux核心本身内建了一种称作"伪装"的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动. 当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机.黑客就是用你的IP来存取你计算机上的资料.Linux所用的"IP伪装"法,就是把你的IP藏起来,不让

软盘里的Linux防火墙

Linux 下的防火墙(firewall)从诞生到现在,防火墙主要经历了四个发展阶段:第一阶段:基于路由器的防火墙:第二阶段用户化的防火墙工具套:第三阶段:建立在通用操作系统上的防火墙:第四阶段:具有安全操作系统的防火墙.目前世界上大多数防火墙供应商提供的都是具有安全操作系统的软硬件结合的防火墙,象著名的NETEYE.NETSCREEN.TALENTIT等.在Linux操作系统上的防火墙软件也很多,有些是商用版本的防火墙,有的则是完全免费和公开源代码的防火墙.大多数Linux教程都提到了如何在L

Linux防火墙数据包捕获模块

一.防火墙概述 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态. 根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型.网络地址转换-NAT.代理型和监测型.包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.包过滤技术的优点是简单实用,实现成本较低

使用iptables建置Linux 防火墙(1)

防火墙在校园内一直被认为陌晦高深,很少有系管师有勇气进行计划性的实验,基本上这份讲义也可以当成测试报告来阅读,是笔者秉持我不入地狱.谁入地狱的精神,冒着生命危险,蛮干出来的成果,也藉此抛砖引玉,希望能带动国内能力高于笔者许多的众家高手,一起来进行有利于校园网络的公益研究! 壹.什么是防火墙 防火墙是一套能够在两个或两个以上的网络之间,明显区隔出实体线路联机的软硬件设备组合.被区隔开来的网络,可以透过封包转送技术来相互通讯,透过防火墙的安全管理机制,可以决定哪些数据可以流通,哪些资料无法流通,藉此

用Linux防火墙构建软路由

本文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法,此方法为内部网与外部网的互连提供了一种简单.安全的实现途径.Linux自带的Firewall构建软路由,主要是通过IP地址来控制访问权限,较一般的代理服务软件有更方便之处. 一.防火墙 防火墙一词用在计算机网络中是指用于保护内部网不受外部网的非法入侵的设备,它是利用网络层的IP包过滤程序以及一些规则来保护内部网的一种策略,有硬件实现的,也有软件实现的. 运行防火墙的计算机(以下称防火墙)既连接外部网,又连接内部网.一般

用Linux防火墙构建DMZ

防守在网络安全中的重要性不必多说.保护网络最常见的方法就是使用防火墙.防火墙作为网络的第一道防线,通常放置在外网和需要保护的网络之间.最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下.这对于一些中小企业来说是简单易行的,而且这种解决方法在某些情况下也表现不错.然而这种结构毕竟比较简单.企业中有许多服务器.客户机等资源需要保护,不同的资源对安全强度的要求也不同.不能用对待客户机的安全级别来对待服务器,这样服

一个免费、方便的Linux防火墙

Linux下的防火墙(firewall)从诞生到现在,防火墙主要经历了四个发展阶段:第一阶段:基于路由器的防火墙:第二阶段用户化的防火墙工具套:第三阶段:建立在通用操作系统上的防火墙:第四阶段:具有安全操作系统的防火墙.目前世界上大多数防火墙供应商提供的都是具有安全操作系统的软硬件结合的防火墙,象著名的NETEYE.NETSCREEN.TALENTIT等.在Linux操作系统上的防火墙软件也很多,有些是商用版本的防火墙,有的则是完全免费和公开源代码的防火墙.大多数Linux教程都提到了如何在Li