linux透明防火墻(網(wǎng)橋模式)

linux透明防火墻(網(wǎng)橋模式)

ID:10020006

大?。?0.50 KB

頁數(shù):10頁

時間:2018-05-21

linux透明防火墻(網(wǎng)橋模式)_第1頁
linux透明防火墻(網(wǎng)橋模式)_第2頁
linux透明防火墻(網(wǎng)橋模式)_第3頁
linux透明防火墻(網(wǎng)橋模式)_第4頁
linux透明防火墻(網(wǎng)橋模式)_第5頁
資源描述:

《linux透明防火墻(網(wǎng)橋模式)》由會員上傳分享,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫。

1、一、網(wǎng)絡結構?在現(xiàn)有網(wǎng)絡中增加防火墻,主要作用為控制內部上網(wǎng)等等。要求可以靈活控制,包括時間段不同控制,流量限制等。?現(xiàn)有網(wǎng)絡拓撲圖:??由于安裝防火墻時要求不需要修改內網(wǎng)服務器和PC機配置,所以采用透明防火墻(網(wǎng)橋模式)。?修改后拓撲圖:?防火墻需要三塊網(wǎng)卡,其中兩塊網(wǎng)卡做網(wǎng)橋,一塊網(wǎng)卡配置ip做為管理用網(wǎng)卡。內部網(wǎng)絡要訪問不同網(wǎng)段,數(shù)據(jù)包需要路由轉換,這時就要通過防火墻才能到達路由。防火墻采用linux系統(tǒng),使用iptables和ebtables進行過濾數(shù)據(jù)包。經(jīng)過測試交換機劃分vlan在路由器終結數(shù)據(jù)包,這樣的數(shù)據(jù)包可以在iptables和ebtab

2、les中進行分析處理。網(wǎng)橋在網(wǎng)絡的第二層,iptables和ebtables在linux2.6內核中可以分析到第二層的數(shù)據(jù)包。二、防火墻工具分析?1)iptables說明Iptables對數(shù)據(jù)包的處理流程:數(shù)據(jù)包進入系統(tǒng),經(jīng)過IP校驗后經(jīng)過PREROUTING鏈中的Mangle和Nat的處理;再經(jīng)過路由查找,決定該數(shù)據(jù)包需要轉發(fā)還是發(fā)給本機;如果該數(shù)據(jù)包是發(fā)給本機的,則經(jīng)過INPUT鏈的Mangle和Filter處理后再傳遞給上層協(xié)議;如果需要轉發(fā),則發(fā)給FORWARD鏈的Mangle和Filter進行處理;本機網(wǎng)絡層以上各層產生的數(shù)據(jù)包通過OUTPUT鏈

3、的Mangle、Nat、Filter處理后,再進行路由選擇;所有需要發(fā)送到網(wǎng)絡中的數(shù)據(jù)包,都必須經(jīng)過POSTROUTING鏈的Mangle和Nat進行處理。?2)ebtalbles說明Ebtables對數(shù)據(jù)幀的處理過程:數(shù)據(jù)幀進入數(shù)據(jù)鏈路層,首先經(jīng)過BROURING鏈的Broute處理,決定是直接路由該數(shù)據(jù)幀還是讓它進入到PREROUTING鏈,如果數(shù)據(jù)幀的目的地址和源地址在同一個網(wǎng)段,網(wǎng)橋會屏蔽它;如果數(shù)據(jù)幀是多播幀或廣播幀,則要在同一網(wǎng)段中除了接收端口以外的其他端口發(fā)送這個數(shù)據(jù)幀。接下來,數(shù)據(jù)幀到達PREROUTING鏈后可以改變目的MAC地址(DNA

4、T);當數(shù)據(jù)幀通過PREROUTING鏈后,Ebtables將會根據(jù)該數(shù)據(jù)幀的目的MAC地址決定是否轉發(fā)該幀,如果這個幀的目的MAC是本機的,就會進入到INPUT鏈,在這個鏈中,可以過濾進入本機的數(shù)據(jù)幀,通過INPUT鏈后,就到達網(wǎng)絡層,數(shù)據(jù)幀變成數(shù)據(jù)包;如果數(shù)據(jù)幀的目的MAC不是本機的,它進入FORWARD鏈,F(xiàn)ORWARD鏈將過濾數(shù)據(jù)幀;然后這個數(shù)據(jù)幀就會到達POSTROUTING鏈,在這里可以改變數(shù)據(jù)幀的源MAC地址(SNAT)。由本機產生的幀,首先判斷是否需要Bridging,如果不需要則進行直接路由;如果需要就會進入到OUTPUT鏈中,以對數(shù)據(jù)幀

5、改變目的MAC地址(DNAT)和過濾,接下來這個幀到達POSTROUTING鏈,這個鏈可以改變數(shù)據(jù)幀的源MAC地址(SNAT);最后,這個幀就到達了NIC。?3)橋接方式的處理流程當數(shù)據(jù)幀進入Linux網(wǎng)橋后,先通過Ebtables的BROUTING鏈和PREROUTING鏈;接下來,經(jīng)過Iptables的PREROUTING鏈,這時還是在數(shù)據(jù)鏈路層,而不是在Iptables通常起作用的網(wǎng)絡層,這就是br_nf幫助數(shù)據(jù)幀在數(shù)據(jù)鏈路層可以經(jīng)過Iptables鏈的作用;然后,經(jīng)過Ebtables的FORWARD鏈和Iptables的FORWARD鏈;最后,先后

6、經(jīng)過Ebtables和Iptables的POSTROUTING鏈。?4)總結從前面的敘述,可以看到無論橋接還是路由方式,數(shù)據(jù)幀都會經(jīng)過Iptables的FORWARD鏈,這樣就可以利用Iptables/Ebtables設計一個網(wǎng)橋防火墻。Linux2.6中的Ebtables/Iptables是一個非常強大的防火墻系統(tǒng),可以同時在數(shù)據(jù)鏈路層和網(wǎng)絡層對數(shù)據(jù)幀或數(shù)據(jù)包進行過濾、地址轉換、數(shù)據(jù)包傳輸特性的改變。利用Ebtables/Iptables可以構建一個網(wǎng)橋路由器,尤其重要的是它還可以連接不同協(xié)議的網(wǎng)絡,實現(xiàn)過濾等功能。因此,利用Ebtables/Iptab

7、les可以構建一種簡單宜用、功能強大、經(jīng)濟高效的網(wǎng)橋防火墻。由于iptables功能比ebtables更強大,應用也較為廣泛,所以一般都使用iptables來做防火墻。三、系統(tǒng)安裝?centoslinux5.0是使用linux2.6內核的操作系統(tǒng)。?1)系統(tǒng)安裝1.輸入linuxtext選擇text安裝模式。2.安裝時語言環(huán)境選English。3.鍵盤類型選us。4.鼠標選擇No-mouse。5.安裝類型選Custom。6.分區(qū)設置:??/boot?ext3??100M???啟動分區(qū)??/??ext3??10G????系統(tǒng)分區(qū)??Swap?swap?1G?

8、???虛擬內存??/var??ext3??剩余空間??日志分區(qū)7.

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內容,確認文檔內容符合您的需求后進行下載,若出現(xiàn)內容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。