linux架设简单透明防火墙
时间:2006-08-28
来源:互联网
很多兄弟想必都用过linux做过nat服务器和防火墙,然而现在大部分防火墙搭建的介绍文档都是要进行一次nat,这就导致我们不得不改变现有的网络结构:比如不得不把原先直接放在外网、公网上的服务器变成内网的ip,经过nat转换之后才能设定防火墙策略。而且使用了iptables的nat功能后,p2p的服务基本就无法进行了,因为p2p服务在nat的条件下基本无法运行,具体的我就不说了,因为无法对服务器建立主动连接什么的造成的……可以去研究协议。
实际上我们可以很方便的实现透明防火墙,这样就不用担心上面的问题了,现有的透明防火墙的介绍也大多是redhat7.2时代,基于2.4.X内核的版本,和现在想必恐怕也有些落伍……上周我用rhel4,内核版本2.6.9作了一次测试,基本成功,这里给大家介绍一下。
首先你得用新一些的发行版本,比如rhel4(俗称的企业版4.0)或者rhfc4(就是redhat FC4啦),老版本的会不会有问题我没有试过……如果是新学不久,还是用新版本吧,毕竟新版本的iptables功能更强……不过学起来也更麻烦些(当然基本的功能还是可以借鉴那些老的教程),新特性基本都得自己看英文说明学习。另外你这台机器是双网卡的没错吧?起码装了系统并且保证两块网卡本来都可以正常连通(这些问题我就不在多说了)
检查一下你是否安装了下列软件包:
bridge-utils-1.0.4-4.i386.rpm
bridge-utils-devel-1.0.4-4.i386.rpm
版本不一定要一样,但是基本相同。
如果安装不上看看提示,可能缺少其他的软件包支持,比如我安装的时候,就告知要安装软件包:
sysfsutils-1.2.0-1.i386.rpm
没什么,先安装他好了。
安装完毕后,就可以开始设置我们的透明防火墙了(其实就是让这台机器变成一个网桥,然后用我们熟悉的iptables进行防火墙策略的设定就可以)。
添加桥设备:
brctl addbr br_test
(br_test是我随便起的名字,你也可以用br_0之类的)
brctl addif br_test eth0
brctl addif br_test eth1
把eth0和eth1都加到桥中。
ifconfig eth0 down
ifconfig eth1 down
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
重新启动网卡
有的时候可能用ifconfig eth0 0.0.0.0 up和ifconfig eth1 0.0.0.0 up不起作用,可以考虑用这两句代替一下看看……
ifconfig eth0 0.0.0.0 promisc
ifconfig eth1 0.0.0.0 promisc
这样两块网卡就工作在混杂模式下了(有人说有用,有人说没用,你要是有条件,都试试,我因为工作原因,没能仔细的试验)
ifconfig br_test 192.168.10.3 up
route add default gw 192.168.10.1
给自己的桥设备配置ip地址,你可以设成你自己的,并加上默认网关。
echo "1" > /proc/sys/net/ipv4/ip_forward
开启ip转发功能。ok到这里,你的网桥就配置好了,然后开启iptables防火墙,设置你的策略吧。
不过从前所有的对设备eth0和eth1的限制现在都改成对桥设备br_test的限制了。记住iptables的特点,如果数据只是要通过防火墙,则在filter链上进行过滤设置,如果要进入防火墙(比如你要配置防火墙,就算是要进入),则在input和output链上进行配置。
就说这些了,祝各位兄弟好运,能一次配置成功哦!这样我们的工作会方便很多的!
作者:七夕银河 转载请注明网盟。
原文我发在linux版了,不过考虑这里可能更需要一些。
[ 本帖最后由 iamshiyu 于 2011-9-13 22:15 编辑 ]
实际上我们可以很方便的实现透明防火墙,这样就不用担心上面的问题了,现有的透明防火墙的介绍也大多是redhat7.2时代,基于2.4.X内核的版本,和现在想必恐怕也有些落伍……上周我用rhel4,内核版本2.6.9作了一次测试,基本成功,这里给大家介绍一下。
首先你得用新一些的发行版本,比如rhel4(俗称的企业版4.0)或者rhfc4(就是redhat FC4啦),老版本的会不会有问题我没有试过……如果是新学不久,还是用新版本吧,毕竟新版本的iptables功能更强……不过学起来也更麻烦些(当然基本的功能还是可以借鉴那些老的教程),新特性基本都得自己看英文说明学习。另外你这台机器是双网卡的没错吧?起码装了系统并且保证两块网卡本来都可以正常连通(这些问题我就不在多说了)
检查一下你是否安装了下列软件包:
bridge-utils-1.0.4-4.i386.rpm
bridge-utils-devel-1.0.4-4.i386.rpm
版本不一定要一样,但是基本相同。
如果安装不上看看提示,可能缺少其他的软件包支持,比如我安装的时候,就告知要安装软件包:
sysfsutils-1.2.0-1.i386.rpm
没什么,先安装他好了。
安装完毕后,就可以开始设置我们的透明防火墙了(其实就是让这台机器变成一个网桥,然后用我们熟悉的iptables进行防火墙策略的设定就可以)。
添加桥设备:
brctl addbr br_test
(br_test是我随便起的名字,你也可以用br_0之类的)
brctl addif br_test eth0
brctl addif br_test eth1
把eth0和eth1都加到桥中。
ifconfig eth0 down
ifconfig eth1 down
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
重新启动网卡
有的时候可能用ifconfig eth0 0.0.0.0 up和ifconfig eth1 0.0.0.0 up不起作用,可以考虑用这两句代替一下看看……
ifconfig eth0 0.0.0.0 promisc
ifconfig eth1 0.0.0.0 promisc
这样两块网卡就工作在混杂模式下了(有人说有用,有人说没用,你要是有条件,都试试,我因为工作原因,没能仔细的试验)
ifconfig br_test 192.168.10.3 up
route add default gw 192.168.10.1
给自己的桥设备配置ip地址,你可以设成你自己的,并加上默认网关。
echo "1" > /proc/sys/net/ipv4/ip_forward
开启ip转发功能。ok到这里,你的网桥就配置好了,然后开启iptables防火墙,设置你的策略吧。
不过从前所有的对设备eth0和eth1的限制现在都改成对桥设备br_test的限制了。记住iptables的特点,如果数据只是要通过防火墙,则在filter链上进行过滤设置,如果要进入防火墙(比如你要配置防火墙,就算是要进入),则在input和output链上进行配置。
就说这些了,祝各位兄弟好运,能一次配置成功哦!这样我们的工作会方便很多的!
作者:七夕银河 转载请注明网盟。
原文我发在linux版了,不过考虑这里可能更需要一些。
[ 本帖最后由 iamshiyu 于 2011-9-13 22:15 编辑 ]
作者: iamshiyu 发布时间: 2006-08-28
p2p的服务基本就无法进行了,因为p2p服务在nat的条件下基本无法运行
P2P发展得很快的
P2P发展得很快的
作者: 文仔 发布时间: 2006-08-28
……我是看协议分析才了解到的,p2p服务器——注意我说的是服务器,特别是tracker或者超级种子服务器,在进行了nat以后,哪怕你做了端口映射,也会导致客户端无法连接到tracker或者超级种子服务器。不过我承认我对于p2p的了解比较少,反正我给公司作第一个防火墙的时候发现用思科的2621路由器做完nat加ip映射后,www服务、ftp服务等都可以正常被访问到,但是p2p的tracker就不行了,其他种子服务器就此无法连接到tracker上,虽然可以ping到,可以看web等等,于是我只好把它再拉出来。后来看了一些协议分析的文章,了解到nat的工作方法导致p2p请求很难穿越并建立连接,无论是nat还是pnat都是,具体的原理还不是特别清楚……版主你确信你有过tracker服务器或者超级种子服务器工作在nat后面的吗?客户端能够穿越我是知道的,因为只要服务器端能够建立起与客户端的连接就可以,问题就是如果服务器端也在nat后面,就无法与之建立起连接通道了。
不知道版主试验过没有,如果能行,最好能介绍一下经验,还真省得我费尽心思去做透明防火墙了……
不知道版主试验过没有,如果能行,最好能介绍一下经验,还真省得我费尽心思去做透明防火墙了……
作者: iamshiyu 发布时间: 2006-08-30
唉,其实这个应用真的很好,现在安装起来比以前容易的多,透明墙不但不会影响网络结构,还可以轻松实现流量过滤、流量检测、流量监控等很多功能。可惜现在看起来没那么多人有这个心情做这个东西了。
作者: iamshiyu 发布时间: 2011-09-13
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
