| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

防火墙

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·ARP欺骗技术
·防火墙软件Netfilter之包过滤技术
·使用iptable实现动态防火墙
·用iptales实现包过滤型防火墙(一)
·企业网中用Linux作为路由器
·防火墙软件Netfilter之NAT技术
·基于Linux的路由器和防火墙配置
·一个实用的防火墙配置范例
·用iptales实现包过滤型防火墙(二)
·用ipchains构建防火墙和IP伪装

站内搜索

用Linux防火墙构建软路由

    本文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法,此方法为内部网与外部网的互连提供了一种简单、安全的实现途径。Linux自带的Firewall构建软路由,主要是通过IP地址来控制访问权限,较一般的代理服务软件有更方便之处。

一、防火墙

    防火墙一词用在计算机网络中是指用于保护内部网不受外部网的非法入侵的设备,它是利用网络层的IP包过滤程序以及一些规则来保护内部网的一种策略,有硬件实现的,也有软件实现的。

    运行防火墙的计算机(以下称防火墙)既连接外部网,又连接内部网。一般情况下,内部网的用户不能直接访问外部网,反之亦然。如果内部网用户要访问外部网,必须先登录到防火墙,由防火墙进行IP地址转换后,再由防火墙发送给外部网,即当内部网机器通过防火墙时,源IP地址均被设置(或称伪装,或称欺骗)成外部网合法的IP地址。经伪装以后,在外部网看来,内部网的机器是一个具有合法的IP地址的机器,因而可进行通信。外部网用户要访问内部网用户时,也要先登录到防火墙,经过滤后,仅通过允许的服务。

由此可见,防火墙在内部网与外部网之间起到了两个作用:

(1)IP包过滤——保护作用;

(2)路由——网络互连作用。

二、防火墙的安装

1.硬件安装

    运行Linux防火墙的计算机上必须安装有两块网卡或一块网卡、一块Modem卡。本文以两块网卡为例。安装网卡,正确设置中断号及端口号,并为各网卡分配合适的IP地址。

配置以后的防火墙模型。

2.安装网关

    安装网关的方法有两种:一种是运行linuxconf,进入ROUTINGANDGATEWAYS选项,配置网关;另一种是修改rc.inet1文件。下面介绍修改rc.inet1文件的方法安装网关。

进入/etc/rc.d/目录,键入virc.inet1回车,参照下面内容修改:

IPADDR="202.114.194.130"#第一块卡的外部网IP地址

NETMASK="255.255.255.128"#第一块卡的外部网子网掩码

NETWORK="202.114.194.0"#第一块卡的外部网网段

BROADCAST="202.114.194.255"#第一块卡的外部网广播地址

GATEWAY="202.114.194.129"#第一块卡的外部网网关,也是

默认网关

IPADDR1="192.168.0.1"

#第二块卡的内部网IP地址

NETMASK1="255.255.255.0"

#第二块卡的内部网子网掩码

NETWORK1="192.168.0.0"

#第二块卡的内部网网段

BROADCAST1="192.168.0.255"

#第二块卡的内部网广播地址

/sbin/ifconfigeth0${IPADDR}

broadcast${BROADCAST}metmask${NETMASK}

#设置第一块卡

/sbin/ifconfigeth1${IPADDR1}

broadcast${BROADCAST1}metmask$

{NETMASK1}

#设置第二块卡

/sbin/routeadd-net${NETWORK}

netmask${NETMASK}

/sbin/routeadddefaultgw$

{GATEWAY}metric1

/sbin/routeadd-net${NETWORK1}

netmask${NETMASK1}

    要测试网关设置情况,可以用“ifconfig”命令测试,运行该命令后,会显示出eth0和eth1及上面我们修改的相关内容,如果没有显示这些相关信息,说明设置不正确,还要重新再来一次。

三、构建软路由

1.IP地址转换

    IP地址转换也称为IP地址伪装或IP地址欺骗,也就是指当内部网机器登录到防火墙上时,防火墙将内部网IP(不合法的外部网IP地址)伪装成合法的外部网IP地址,再与外部网通信。IP地址伪装的命令格式如下:

ipfwadm-F-amasquerade-D0.0.0.0/0-Weth0

    其中“-D0.0.0.0/0”表示允许对所有内部网IP地址进行转换,“-Weth0”表示内部网IP地址是通过网卡1进行转换的。

    IP地址伪装设置完毕后,就可以在内部网机器上ping一下外部网的机器,如果防火墙上的forwarding没有被关闭的话,就可以ping通了,说明配置一切正确。

2.设定访问外部网的权限

    为了加强对网络的管理,有时要对内部网访问外部网进行一定的限制,这种限制包括:(1)允许哪些机器可以上网;(2)允许访问哪些站点。

限制上网机器可以参照以下脚本:

ipfwadm-F-pdeny#全部拒绝内部网机器上网

ipfwadm-F-am-S192.168.0.5/32

-d0.0.0.0/0#允许192.168.0.5机器对

外部网的访问

限制访问站点,可以这样设置:

ipfwadm-O-ireject-D0.0.0.0/0

#对外部网的所有站点加以

拒绝

ipfwadm-O-iaccept-D202.114.0.0/16

#允许访问202.114.0.0~

202.114.255.255内的所有站点

上述设置中,“0.0.0.0/0”表示全部网址,“202.114.0.0/16”表示202.114.0.0至202.114.255.255的所有站点。

3.统计IP包流量

IP包流量记账的设置如下:

ipfwadm-A-f

/sbin/ipfwadm-A-f

/sbin/ipfwadm-Aout-I-S192.168.0.0

/32-D0.0.0.0/0

#对所有流出包

统计

/sbin/ipfwadm-Ain-I-S192.168.0.0

/32-D0.0.0.0/0

#对所有流入包

统计

所在记账的统计都存放于/proc/net/ip_acct文件中,其所有IP地址均为16进制表示。

以上所有脚本,既可放置在/etc/rc.d文件中,也可单独设立shell脚本,用命令sh执行。

以上设置均在RedHat5.1上运行通过。





相关文章
  • 防火墙软件Netfilter之包过滤技术
  • 防火墙软件Netfilter之NAT技术
  • 防火墙技术综述
  • 防火墙分析报告
  • 路由器基础
  • 简易防火墙建置与流量统计之5
  • 简易防火墙建置与流量统计之4
  • 简易防火墙建置与流量统计之3
  • 简易防火墙建置与流量统计之2
  • 简易防火墙建置与流量统计之1
  • 用Linux+IPChains代替Windows+WinGate
  • 用iptales实现包过滤型防火墙(二)
  • 用iptales实现包过滤型防火墙(一)
  • 用iptables实现NAT
  • 用ipchains构建防火墙和IP伪装
  • 构建基于ipchains的Linux防火墙
  • 教你将Linux配置为代理防火墙
  • 恢复IpTables的默认设置(Script)
  • 怎样用ipchains构建防火墙
  • 局域网通过LINUX主机上网手记
  • 相关软件




    月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
    电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
    音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

    月光软件站·版权所有