本次搭建的是透明模式的防火墙,并非透明代理,防火墙加入网络后不会更改以前的网络结构
我所讲解的过程中从不介绍理论,因为理论是拿来应付期末考试的,工作中不能解决问题,那还工作个P啊
所需软件:
bridge-utils-1.1-2
系统:AS 5.2 内核 2.6.27(升老级的)
首先保证 内核配置文件中Networking support -Networking options - Network packet filtering (replaces ipchains) 下面的没选中的全部编译成模块,防火墙需要
网络拓扑结构:
客户机 \
客户机 ---交换机--(eth0)防火墙(eth1)---(网关)路由--Internet
客户机 /
客户机IP为 1.2 ~ 1.200 打开DHCP
路由网关为 1.1
环境里会有两张网卡 eth0, eth1
现在这两张网卡的IP地址这些不去管他
1:
首先把当前的eth0和eth1网卡的IP地址取消(这步很关键)
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
2:
新增一个虚拟的桥接口 eo (eo这个接口名字是我自己随便取的)
brctl addbr eo
3:
把eth0 和 eth1这两张网卡加入这个虚拟的eo接口中
brctl addif eo eth0
brctl addif eo eth1
使用brctl show来查看接口加入进来没有
4:
把虚拟的 eo 接口启动起来
ifconfig eo up
这个时候使用ifconfig命令就应该能看见虚拟的eo接口老
5:
现在给虚拟eo接口配置IP地址和掩码(iP随便选一个本网段未使用的就可以老,远程登录需要)
ifconfig eo 192.168.1.222 netmask 255.255.255.0
现在你会发现,这台防火墙 ping 客户机是可以ping通的,客户机也可以ping通防火墙,但是防火墙不能ping通外网。作为客户机,是可以正常和外网通信,而且客户机的DHCP也可以穿透防火墙分配到路由给予的IP地址,路由器所记录的MAC地址是客户机自己的MAC地址,说明防火墙已经处于透明模式了,内网中的任何一台主机现在都可以通过这个虚拟接口的IP远程登录到防火墙。
以上所有的配置都只是临时的,重启服务和系统后会失效,可以把上面的命令写为脚本来让系统启动时自动载入,但是本人不会,只会使用白痴方法,也是最简单的方法,直接把以上命令:
(ifconfig eth0 0.0.0.0;ifconfig eth1 0.0.0.0;brctl addbr eo;brctl addif eo eth0;brctl addif eo eth1;ifconfig eo up;ifconfig eo 192.168.1.222 netmask 255.255.255.0)
全部写入 /etc/rc.d/rc.local 文件中就OK了(注意命令顺序)
当配置完成后,最重要的就是写防火墙规则,因为现在防火墙是串在网络中,所以,基本上所有的防火墙规则都是用filter 表的FORWARD链来作要求
如果要去掉虚拟接口使用下面命令:
brctl addif eo eth0 (把etho接口从虚拟接口eo中删掉)
brctl addif eo eth1 (把eth1接口从虚拟接口eo中删掉)
ifconfig eo down (把eo接口关闭掉)
brctl addbr eo (删除eo接口)
service network restart
注意命令顺序,不把eo接口先关闭掉,是无法删除掉的
NOTE:
如果第一步不把当前的IP地址清楚掉的话,到最后,内网主机和防火墙是不能相互ping 通,也不能远程登录,但是可以访问外网
阅读(2461) | 评论(0) | 转发(1) |