随心订制linux透明防火墙
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-05-04
发表在 http://tech.ccidnet.com/pub/article/c737_a176509_p1.html 作者:田 逸 sery@163.com 一般而言,防火墙的两个网络接口应分属两个不同的网络,根据系统管理员定义的访问规则在两个接口之间转发数据包,或者拒绝、丢弃数据包.实际上,防火墙不单单是访问控制的功能,  还充当了路由器的角色.当然,这并非有什么不妥当的地方,但是当你企图把你配置好的linux防火墙放入运行网络,来保护现有系统安全的时候,你不得不重新考虑和更改你的网络架构.另外一个可能的麻烦是,当防火墙发生意外时,如果没有防火墙的硬件备份的话,那么你将面临巨大的心理压力, 防火墙的故障,整个网络瘫痪了.假如你把防火墙配置成透明模式(可称为伪网桥),就无需更改网络架构,即使是防火墙不能工作了,要做的仅仅是拔出网线,把网线直接插在路由器的内部接口就可以让网络正常工作,然后你就有时间慢慢恢复发生故障的防火墙. 好了,既然透明防火墙有那么多方便,我们赶快动手来配置吧!准备一台pc机,两块网卡(建议用3com网卡),网线若干,redhat linux 9安装盘一套.打开机箱,把两块网卡插入计算机的pci插槽,用网线把计算机分别与网关和交换机相连(如前页图“正常状态”那样);盖上计算机的盖子,插上电源,开机.在光驱里放上linux 9安装光盘,由光盘引导计算机,从而安装linux 系统.选择定制安装,不要保守,多花一点时间体验一下图形界面的安装乐趣,取消防火墙(no firewall),在安装快结束时选择以文本方式登录系统,完成安装. 透明防火墙功能配置: 1、 设置网络地址.修改文件 /etc/sysc 和 /etc/sysc 用vi 来编辑如下,保存文件,运行命令 service network restart 使修改生效.
device=eth0 bootproto=n broadcast=192.168.1.255 ipaddr=192.168.1.254 netmask=255.255.255.0 network=192.168.1.0 onboot=yes userctl=no peerdns=no type=ethernet device=eth1 bootproto=n broadcast=192.168.1.255 ipaddr=192.168.1.254 netmask=255.255.255.0 network=192.168.1.0 onboot=yes userctl=no peerdns=no type=ethernet 这里需要注意两个地方,第一个是要区分清楚那一个网卡是eth0,那一个是 eth1.这个问题十分关键,如果搞混了就会导致防火墙不能连通网络.至于怎样区分eth0和 eth1,我将在文章的末尾作简单的描述.在这里假定与路由器相连的网卡是eth0. 2、 设置默认路由.在文件 /etc/sysc 中加入一行 gateway=192.168.1.1 保存后运行命令 service network restart ,修改生效.找一个开放icmp协议的公网ip,用命令ping 202.108.36.196 (www.163.com 的主机)检测跟外网的连通状况,如果正常,表明linux防火墙主机跟外网配置正确.再用命令ping 192.168.1.18 检测防火墙主机与内网主机的连通状况,如果正常则进行下一步操作. 3、 启用网络转发和proxy_arp .这是透明防火墙的核心部分,我把它们写进文件/etc/rc.d/rc.local.用vi /etc/rc.d/rc.local 插入如下内容.在做这一步的时候,我曾 #ip forward /sbin/sysctl -w net.ipv4.conf.all.forwarding=1 #enable proxy-arp /sbin/sysctl -w net.ipv4.conf.eth0.proxy_arp=1 /sbin/sysctl -w net.ipv4.conf.eth1.proxy_arp=1 经花费较多的时间, 我做参考的那本书里的这一步没有参数 “╟w” ,后来单独运行 sysctl net.ipv4.conf.eth0.proxy_arp=1 才发现red hat linux 9 没有参数“-w”不能运行. 4、 指定路由.  两块网卡(eth0,eth1)使用同样的ip ,如果不专门指定转发路径,一定会导致路由混乱,从而使防火墙以内的计算机没法访问 internet .还是用命令 vi 修改文件 /etc/rc.d/rc.local ,插入如下几行.保存文件,重新启动计算机/
|
||
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: SuSE Linux9.1 硬盘安装方法下一篇: BSD/Linux Tips
关于随心订制linux透明防火墙的所有评论
