linux架設(shè)簡(jiǎn)單透明防火墻

linux架設(shè)簡(jiǎn)單透明防火墻

ID:38364673

大?。?7.50 KB

頁(yè)數(shù):9頁(yè)

時(shí)間:2019-06-11

linux架設(shè)簡(jiǎn)單透明防火墻_第1頁(yè)
linux架設(shè)簡(jiǎn)單透明防火墻_第2頁(yè)
linux架設(shè)簡(jiǎn)單透明防火墻_第3頁(yè)
linux架設(shè)簡(jiǎn)單透明防火墻_第4頁(yè)
linux架設(shè)簡(jiǎn)單透明防火墻_第5頁(yè)
資源描述:

《linux架設(shè)簡(jiǎn)單透明防火墻》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、linux架設(shè)簡(jiǎn)單透明防火墻很多兄弟想必都用過(guò)linux做過(guò)nat服務(wù)器和防火墻,然而現(xiàn)在大部分防火墻搭建的介紹文檔都是要進(jìn)行一次nat,這就導(dǎo)致我們不得不改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu):比如不得不把原先直接放在外網(wǎng)、公網(wǎng)上的服務(wù)器變成內(nèi)網(wǎng)的ip,經(jīng)過(guò)nat轉(zhuǎn)換之后才能設(shè)定防火墻策略。而且使用了iptables的nat功能后,p2p的服務(wù)基本就無(wú)法進(jìn)行了,因?yàn)閜2p服務(wù)在nat的條件下基本無(wú)法運(yùn)行,具體的我就不說(shuō)了,因?yàn)闊o(wú)法對(duì)服務(wù)器建立主動(dòng)連接什么的造成的……可以去研究協(xié)議。實(shí)際上我們可以很方便的實(shí)現(xiàn)透明防火墻,這

2、樣就不用擔(dān)心上面的問(wèn)題了,現(xiàn)有的透明防火墻的介紹也大多是redhat7.2時(shí)代,基于2.4.X內(nèi)核的版本,和現(xiàn)在想必恐怕也有些落伍……上周我用rhel4,內(nèi)核版本2.6.9作了一次測(cè)試,基本成功,這里給大家介紹一下。首先你得用新一些的發(fā)行版本,比如rhel4(俗稱的企業(yè)版4.0)或者rhfc4(就是redhatFC4啦),老版本的會(huì)不會(huì)有問(wèn)題我沒(méi)有試過(guò)……如果是新學(xué)不久,還是用新版本吧,畢竟新版本的iptables功能更強(qiáng)……不過(guò)學(xué)起來(lái)也更麻煩些(當(dāng)然基本的功能還是可以借鑒那些老的教程),新特性基本都得

3、自己看英文說(shuō)明學(xué)習(xí)。另外你這臺(tái)機(jī)器是雙網(wǎng)卡的沒(méi)錯(cuò)吧?起碼裝了系統(tǒng)并且保證兩塊網(wǎng)卡本來(lái)都可以正常連通(這些問(wèn)題我就不在多說(shuō)了)檢查一下你是否安裝了下列軟件包:bridge-utils-1.0.4-4.i386.rpmbridge-utils-devel-1.0.4-4.i386.rpm版本不一定要一樣,但是基本相同。如果安裝不上看看提示,可能缺少其他的軟件包支持,比如我安裝的時(shí)候,就告知要安裝軟件包:sysfsutils-1.2.0-1.i386.rpm沒(méi)什么,先安裝他好了。安裝完畢后,就可以開(kāi)始設(shè)置我們

4、的透明防火墻了(其實(shí)就是讓這臺(tái)機(jī)器變成一個(gè)網(wǎng)橋,然后用我們熟悉的iptables進(jìn)行防火墻策略的設(shè)定就可以)。添加橋設(shè)備:brctladdbrbr_test(br_test是我隨便起的名字,你也可以用br_0之類的)brctladdifbr_testeth0brctladdifbr_testeth1把eth0和eth1都加到橋中。ifconfigeth0downifconfigeth1downifconfigeth00.0.0.0upifconfigeth10.0.0.0up重新啟動(dòng)網(wǎng)卡有的時(shí)候可能用i

5、fconfigeth00.0.0.0up和ifconfigeth10.0.0.0up不起作用,可以考慮用這兩句代替一下看看……ifconfigeth00.0.0.0promiscifconfigeth10.0.0.0promisc這樣兩塊網(wǎng)卡就工作在混雜模式下了(有人說(shuō)有用,有人說(shuō)沒(méi)用,你要是有條件,都試試,我因?yàn)楣ぷ髟?,沒(méi)能仔細(xì)的試驗(yàn))ifconfigbr_test192.168.10.3uprouteadddefaultgw192.168.10.1給自己的橋設(shè)備配置ip地址,你可以設(shè)成你自己的,并

6、加上默認(rèn)網(wǎng)關(guān)。echo"1">/proc/sys/net/ipv4/ip_forward開(kāi)啟ip轉(zhuǎn)發(fā)功能。ok到這里,你的網(wǎng)橋就配置好了,然后開(kāi)啟iptables防火墻,設(shè)置你的策略吧。不過(guò)從前所有的對(duì)設(shè)備eth0和eth1的限制現(xiàn)在都改成對(duì)橋設(shè)備br_test的限制了。記住iptables的特點(diǎn),如果數(shù)據(jù)只是要通過(guò)防火墻,則在filter鏈上進(jìn)行過(guò)濾設(shè)置,如果要進(jìn)入防火墻(比如你要配置防火墻,就算是要進(jìn)入),則在input和output鏈上進(jìn)行配置。就說(shuō)這些了,祝各位兄弟好運(yùn),能一次配置成功哦!這樣我

7、們的工作會(huì)方便很多的!作者:七夕銀河轉(zhuǎn)載請(qǐng)注明網(wǎng)盟。原文我發(fā)在linux版了,不過(guò)考慮這里可能更需要一些。透明網(wǎng)橋防火墻在大型網(wǎng)絡(luò)環(huán)境中透明網(wǎng)橋防火墻用得非常普遍,它的好處是可以把內(nèi)網(wǎng)的網(wǎng)關(guān)設(shè)在防火墻外面。特別適合用做服務(wù)器區(qū),一款商業(yè)防火墻如果不支持透明模式就說(shuō)明這個(gè)防火墻不是很成熟。很多開(kāi)源的防火墻如PFSENSE、M0N0WALL等只能支持半透明模,對(duì)于全透明模式可能要等到PFSENSE2.0以后的版本才能支持。不過(guò)IPTABLES就可以支持全透明模式。一:安裝透明網(wǎng)橋1:通過(guò)brtcl安裝配置好

8、透明網(wǎng)橋,并形成橋口eth0、eth1和路由口test,如下:[root@demo1~]#/usr/sbin/brctladdbrtest[root@demo1~]#/usr/sbin/brctladdiftesteth0[root@demo1~]#/usr/sbin/brctladdiftesteth1[root@demo1~]#/sbin/ifconfigtestup[root@demo1~]#/sbin/ifconfigtest192

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。