Chinaunix首页 | 论坛 | 博客
  • 博客访问: 95225
  • 博文数量: 67
  • 博客积分: 30
  • 博客等级: 民兵
  • 技术积分: 330
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-11 15:34
文章分类
文章存档

2015年(1)

2014年(6)

2013年(10)

2012年(50)

我的朋友

分类:

2012-05-03 14:26:18

原文地址:基于网桥的透明防火墙 作者:chinaltang

本次搭建的是透明模式的防火墙,并非透明代理,防火墙加入网络后不会更改以前的网络结构
我所讲解的过程中从不介绍理论,因为理论是拿来应付期末考试的,工作中不能解决问题,那还工作个P啊
所需软件:
bridge-utils-1.1-2
系统:AS 5.2    内核 2.6.27(升老级的)
首先保证 内核配置文件中Networking supportNetworking optionsNetwork packet filtering (replaces ipchains) 下面的没选中的全部编译成模块,防火墙需要 网络拓扑结构:
客户机  \
客户机 ---交换机--(
eth0)防火墙(eth1)---(网关)路由--Internet
客户机  /

客户机IP为   1.2 ~ 1.200  打开DHCP
路由网关为   1.1
环境里会有两张网卡 eth0, eth1
现在这两张网卡的IP地址这些不去管他
1:
首先把当前的eth0和eth1网卡的IP地址取消(这步很关键)
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0

2:

新增一个虚拟的桥接口  eo   (eo这个接口名字是我自己随便取的)

brctl addbr eo

3:
把eth0 和 eth1这两张网卡加入这个虚拟的eo接口中
brctl addif eo eth0
brctl addif eo eth1
使用brctl show来查看接口加入进来没有

4:
把虚拟的 eo 接口启动起来
ifconfig eo up
这个时候使用ifconfig命令就应该能看见虚拟的eo接口老

5:
现在给虚拟eo接口配置IP地址和掩码(iP随便选一个本网段未使用的就可以老,远程登录需要)
ifconfig eo 192.168.1.222 netmask 255.255.255.0

现在你会发现,这台防火墙 ping 客户机是可以ping通的,客户机也可以ping通防火墙,但是防火墙不能ping通外网。作为客户机,是可以正常和外网通信,而且客户机的DHCP也可以穿透防火墙分配到路由给予的IP地址,路由器所记录的MAC地址是客户机自己的MAC地址,说明防火墙已经处于透明模式了,内网中的任何一台主机现在都可以通过这个虚拟接口的IP远程登录到防火墙。

以上所有的配置都只是临时的,重启服务和系统后会失效,可以把上面的命令写为脚本来让系统启动时自动载入,但是本人不会,只会使用白痴方法,也是最简单的方法,直接把以上命令:
(ifconfig eth0 0.0.0.0;ifconfig eth1 0.0.0.0;brctl addbr eo;brctl addif eo eth0;brctl addif eo eth1;ifconfig eo up;ifconfig eo 192.168.1.222 netmask 255.255.255.0)
全部写入 /etc/rc.d/rc.local 文件中就OK了(注意命令顺序)

当配置完成后,最重要的就是写防火墙规则,因为现在防火墙是串在网络中,所以,基本上所有的防火墙规则都是用filter 表的FORWARD链来作要求

如果要去掉虚拟接口使用下面命令:
brctl addif eo eth0   (把etho接口从虚拟接口eo中删掉)
brctl addif eo eth1  (把eth1接口从虚拟接口eo中删掉)
ifconfig eo down     (把eo接口关闭掉)
brctl addbr eo       (删除eo接口)
service network restart
注意命令顺序,不把eo接口先关闭掉,是无法删除掉的


NOTE:
如果第一步不把当前的IP地址清楚掉的话,到最后,内网主机和防火墙是不能相互ping 通,也不能远程登录,但是可以访问外网

阅读(466) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~