linux架设简单透明防火墙.doc

linux架设简单透明防火墙很多兄弟想必都用过linux做过nat服务器和防火墙，然而现在大部分防火墙搭建的介绍文档都是要进行一次nat，这就导致我们不得不改变现有的网络结构：比如不得不把原先直接放在外网、公网上的服务器变成内网的ip，经过nat转换之后才能设定防火墙策略。而且使用了iptables的nat功能后，p2p的服务基本就无法进行了，因为p2p服务在nat的条件下基本无法运行，具体的我就不说了，因为无法对服务器建立主动连接什么的造成的可以去研究协议。 实际上我们可以很方便的实现透明防火墙，这样就不用担心上面的问题了，现有的透明防火墙的介绍也大多是redhat7.2时代，基于2.4.X内核的版本，和现在想必恐怕也有些落伍上周我用rhel4，内核版本2.6.9作了一次测试，基本成功，这里给大家介绍一下。 首先你得用新一些的发行版本，比如rhel4（俗称的企业版4.0）或者rhfc4（就是redhat FC4啦），老版本的会不会有问题我没有试过如果是新学不久，还是用新版本吧，毕竟新版本的iptables功能更强不过学起来也更麻烦些（当然基本的功能还是可以借鉴那些老的教程），新特性基本都得自己看英文说明学习。另外你这台机器是双网卡的没错吧？起码装了系统并且保证两块网卡本来都可以正常连通（这些问题我就不在多说了） 检查一下你是否安装了下列软件包： bridge-utils-1.0.4-4.i386.rpm bridge-utils-devel-1.0.4-4.i386.rpm 版本不一定要一样，但是基本相同。 如果安装不上看看提示，可能缺少其他的软件包支持，比如我安装的时候，就告知要安装软件包： sysfsutils-1.2.0-1.i386.rpm 没什么，先安装他好了。 安装完毕后，就可以开始设置我们的透明防火墙了（其实就是让这台机器变成一个网桥，然后用我们熟悉的iptables进行防火墙策略的设定就可以）。 添加桥设备： brctl addbr br_test （br_test是我随便起的名字，你也可以用br_0之类的） brctl addif br_test eth0 brctl addif br_test eth1 把eth0和eth1都加到桥中。 ifconfig eth0 down ifconfig eth1 down ifconfig eth0 0.0.0.0 up ifconfig eth1 0.0.0.0 up 重新启动网卡 有的时候可能用ifconfig eth0 0.0.0.0 up和ifconfig eth1 0.0.0.0 up不起作用，可以考虑用这两句代替一下看看 ifconfig eth0 0.0.0.0 promisc ifconfig eth1 0.0.0.0 promisc 这样两块网卡就工作在混杂模式下了（有人说有用，有人说没用，你要是有条件，都试试，我因为工作原因，没能仔细的试验） ifconfig br_test 192.168.10.3 up route add default gw 192.168.10.1 给自己的桥设备配置ip地址，你可以设成你自己的，并加上默认网关。 echo 1 /proc/sys/net/ipv4/ip_forward 开启ip转发功能。ok到这里，你的网桥就配置好了，然后开启iptables防火墙，设置你的策略吧。 不过从前所有的对设备eth0和eth1的限制现在都改成对桥设备br_test的限制了。记住iptables的特点，如果数据只是要通过防火墙，则在filter链上进行过滤设置，如果要进入防火墙（比如你要配置防火墙，就算是要进入），则在input和output链上进行配置。 就说这些了，祝各位兄弟好运，能一次配置成功哦！这样我们的工作会方便很多的！ 作者：七夕银河 转载请注明网盟。 原文我发在linux版了，不过考虑这里可能更需要一些。透明网桥防火墙在大型网络环境中透明网桥防火墙用得非常普遍，它的好处是可以把内网的网关设在防火墙外面。特别适合用做服务器区，一款商业防火墙如果不支持透明模式就说 明这个防火墙不是很成熟。很多开源的防火墙如PFSENSE、M0N0WALL等只能支持半透明模，对于全透明模式可能要等到PFSENSE 2.0以后的版本才能支持。不过IPTABLES就可以支持全透明模式。 一：安装透明网桥 1：通过brtcl安装配置好透明网桥，并形成桥口eth0、eth1和路由口test,如下：rootdemo1 # /usr/sbin/brctl addbr testrootdemo1 # /usr/sbin/brctl addif test eth0rootdemo1 # /usr/sbin/brctl addif test eth1rootdemo1 # /sbin/ifconfig test uprootdemo1 # /sbin/ifconfig test 192.168.30.210 netmask 255.255.0.0 rootdemo1 # /sbin/ifconfig -aeth0 Link encap:Ethernet HWaddr 00:50:BA:CE:CD:17 inet6 addr: fe80:250:baff:fece:cd17/64 Scope:Link eth1 Link encap:Ethernet HWaddr 00:E0:4C:85:DB:D5 inet6 addr: fe80:2e0:4cff:fe85:dbd5/64 Scope:Link test Link encap:Ethernet HWaddr 00:50:BA:CE:CD:17 inet addr:192.168.30.210 Bcast:10.4.255.255 Mask:255.255.0.0 inet6 addr: fe80:250:baff:fece:cd17/64 Scope:Link 2：brctl命令详解# brctl# commands: addbr add bridge delbr delete bridge addif add interface to bridge delif delete interface from bridge show show a list of bridges showmacs show a list of mac addrs setageing set ageing time setbridgeprio set bridge priority setfd set bridge forward delay sethello set hello time setmaxage set max message age setpathcost set path cost setportprio set port priority showstp show bridge stp info stp turn stp on/off 二：两个关键概念： 1：透明网桥防火墙，从iptables的角度看，实际上是单接口（路由接口）防火墙，好象单接口(test)接到一个 HUB上，两个桥口（eth0,eth1）相当于HUB口 2：尽管类似单接口FW，但仍能FORWARD，可以理解为同一接口的重定向redirect 三：配置iptables rootdemo1 # vi iptables-start #! /bin/sh #DEFINE#LAN_INT=testWAN_INT=test内外网口都是同一接口 #REFLASH#/sbin/iptables -F/sbin/iptables -t nat -F #DEFAULT POLICY#/sbin/iptables -P INPUT DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -P FORWARD DROP #Open ip_forward #echo 1 /proc/sys/net/ipv4/ip_forward #INPUT CHAIN#/sbin/iptables -A INPUT -i $WAN_INT -m state -state RELATED,ESTABLISHED -j ACCEPT/sbin/iptables -A INPUT -i $WAN_INT -p tcp -dport 22 -j ACCEPT/sbin/iptables -A INPUT -i $WAN_INT -p tcp -dport 23 -j ACCEPT既然内外网口是同一接口”test,那留一个即可 #FORWARD CHAIN#/sbin/iptables -A FORWARD -i test -m state -state RELATED,ESTABLISHED -j ACCEPT/sbin/iptables -A FORWARD -i test -s 192.168.30/24 -p all -j ACCEPT 注意：透明FW最难处理的就是FORWARD普通的FW在FORWARD上是禁外允内，现在内外网都是同一逻辑接口（test)了，就没有内外之分了，就只能按路由源地址来分只允许桥接口eth1这边的（即原来的内网）192.168.30/24出去详解：什么是网桥网桥是一种在链路层实现中继，对帧进行转发的技术，根据MAC分区块，可隔离碰撞，将网络的多个网段在数据链路层连接起来的网络设备。Linux 网桥配置命令：brctl在Linux中配置网络一般使用 brctl 命令，使用此命令首先要安装：bridge-utils软件包。inbidebian#apt-get install bridge-utilsinbidebian#modprobe bridgeinbidebian#echo 1/proc/sys/net/ipv4/ip_forward#安装bridge-utils软件包，并加载bridge模块和开启内核转发。inbidebian#brctl#直接输入brctl命令将显示帮助信息！Usage: brctl commandscommands:addbradd bridgedelbrdelete bridgeaddif add interface to bridgedelif delete interface from bridgesetageing set ageing timesetbridgeprio set bridge prioritysetfd set bridge forward delaysethello set hello timesetmaxage set max message agesetpathcost set path costsetportprio set port priorityshow show a list of bridgesshowmacsshow a list of mac addrsshowstpshow bridge stp infostp on|offturn stp on/off增加网桥inbidebian#brctl addbr br0#增加一个网桥inbidebian#ifconfig eth0 0.0.0.0 promiscinbidebian#ifconfig eth1 0.0.0.0 promiscinbidebian#brctl addif br0 eth0 eth1#将两块已有的网卡添加到网桥，此时这两个网卡工作于混杂模式，所以不需要IP了，因为网桥是工作在链路层的。inbidebian#brctl show#查看已有网桥你也可以为 br0 设置一个IP，已访问这台机器。inbidebian#ifconfig br0 10.10.1.1 netmask 255.255.0.0 up删除网桥inbidebian#brctl delif br0 eth0 eth1#增加网桥中的接口inbidebian#brctl delbr br0#删除网桥关闭生成树inbidebian#brctl stp br0 off#关闭生成树协议，减少数据包污染，因为我这里只有一个路由器哦！配置桥开机激活inbidebian#echo modprobe bridge/etc/rc.local#开机加载 bridge 模块，或者echo bridge/etc/modulesinbidebian#cp /etc/network/interfaces /etc/network/interfaces.default#备份下，方便以后使用啊！inbidebian#vim /etc/network/interfacesauto lo eth0 eth1 br0iface lo inet loopbackiface br0 inet static address 10.10.10.1 netmask 255.255.0.0 gateway 10.10.10.254 pre-up ip link set eth0 promisc on pre-up ip link set eth1 promisc on pre-up echo 1/proc/sys/net/ipv4/ip_forward bridge_ports eth0 eth1#配置eth0 eth1 br0开机启动，eth0，eth1未设置IP信息，在启动br0网卡时，开启了eth0，eth1的混杂模式，并桥接了它们。保存的问题：用CENT