教会你配置Linux透明防火墙

运维 系统运维
你在上网时,是不是经常受到攻击,怎样才能避免这样的攻击的,我们应该配置Linux透明防火墙,这就又出现了一个问题,怎样配置配置Linux透明防火墙?

你在上网时,是不是经常受到攻击,怎样才能避免这样的攻击的,我们应该配置Linux透明防火墙,这就又出现了一个问题,怎样配置配置Linux透明防火墙?

1.设置网络地址。修改文件 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1,使其具有相同的ip地址,相同的子网掩码。用vi 来编辑如下,保存文件,运行命令 service network restart 使修改生效。

  1. DEVICE=eth0 
  2. BOOTPROTO=none 
  3. BROADCAST=192.168.1.255  
  4. IPADDR=192.168.1.254  
  5. NETMASK=255.255.255.0  
  6. NETWORK=192.168.1.0  
  7. ONBOOT=yes 
  8. USERCTL=no 
  9. PEERDNS=no 
  10. TYPE=Ethernet DEVICE=eth1 
  11. BOOTPROTO=none 
  12. BROADCAST=192.168.1.255  
  13. IPADDR=192.168.1.254  
  14. NETMASK=255.255.255.0  
  15. NETWORK=192.168.1.0  
  16. ONBOOT=yes 
  17. USERCTL=no 
  18. PEERDNS=no 
  19. TYPE=Ethernet 

这里需要注意两个地方,第一个是要区分清楚那一个网卡是eth0,那一个是 eth1.这个问题十分关键,如果搞混了就会导致防火墙不能连通网络。至于怎样区分eth0和 eth1,我将在文章的末尾作简单的描述。在这里假定与路由器相连的网卡是eth0。

2.设置默认路由。在文件 /etc/sysconfig/network-scripts/ifcfg-eth0 中加入一行 gateway=192.168.1.1 保存后运行命令 service network restart ,修改生效。找一个开放ICMP协议的公网IP,用命令ping 202.108.36.196 (www.163.com 的主机)检测跟外网的连通状况,如果正常,表明Linux防火墙主机跟外网配置正确。再用命令ping 192.168.1.18 检测防火墙主机与内网主机的连通状况,如果正常则进行下一步操作。

3.启用网络转发和proxy_arp 。这是透明防火墙的核心部分,我把它们写进文件/etc/rc.d/rc.local。用vi /etc/rc.d/rc.local 插入如下内容。在做这一步的时候,我曾经花费较多的时间,因为我做参考的那本书里的这一步没有参数 “–w” ,后来单独运行 sysctl net.ipv4.conf.eth0.proxy_arp=1 才发现red hat Linux 9 没有参数“-w”不能运行。

  1. #Ip forward  
  2. /sbin/sysctl -w net.ipv4.conf.all.forwarding=1 
  3. #Enable proxy-arp  
  4. /sbin/sysctl -w net.ipv4.conf.eth0.proxy_arp=1 
  5. /sbin/sysctl -w net.ipv4.conf.eth1.proxy_arp=1 

4、 指定路由。由于两块网卡(eth0,eth1)使用同样的ip ,如果不专门指定转发路径,一定会导致路由混乱,从而使防火墙以内的计算机没法访问 Internet 。还是用命令 vi 修改文件 /etc/rc.d/rc.local ,插入如下几行。保存文件,重新启动计算机。

  1. #Define route  
  2. /sbin/ip route del 192.168.1.0/24 dev eth0  
  3. /sbin/ip route add 192.168.1.1 dev eth0  
  4. /sbin/ip route add 192.168.1.0/24 dev eth1 

Linux防火墙,如果不出意外,就可以从192.168.1.18 这台主机访问Internet,当然内网的任何机器都是可以访问Internet 的。在这里对定义的路由(Define route)作些说明:/sbin/ip route del 192.168.1.0/24 dev eth0 表明所有到子网192.168.1.0/24的数据包都不从网卡eth0转发而从 eth1转发,即命令 /sbin/ip route add 192.168.1.0/24 dev eth1;/sbin/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的数据包都由eth0转发,这其实可以理解为两个网卡数据转发的分工—到192.168.1.1 的数据包由eth0负责,其余的由eth1负责。这样你就完成配置Linux透明防火墙,选择的防火墙规则为中等级别,那么这个防火墙已经配置成功了。

【编辑推荐】

  1. 学会删除旧Linux内核
  2. 详解Linux操作系统防范攻击的实用技巧
  3. 教会你Linux下显示重复行uniq方法
  4. 详解Linux软件基本安装和卸载方法
  5. 袁萌:创新无止境的Linux桌面
责任编辑:小霞 来源: 博客园
相关推荐

2009-02-22 09:30:24

2010-03-08 09:09:48

2010-09-13 17:45:37

2012-07-10 10:39:48

Linux防火墙

2022-07-24 14:49:17

NetfilterLinux防火墙

2010-09-14 14:26:50

2011-03-15 15:47:15

Iptables防火墙

2009-12-09 14:34:58

2011-03-17 16:00:57

2009-09-28 10:06:09

Linux防火墙Linux规则

2020-04-07 13:20:52

Linux防火墙ufw

2011-03-15 16:35:27

2009-08-28 18:12:26

防火墙规则测试

2022-01-06 07:59:05

Linux 防火墙进程

2010-01-07 14:24:54

Linux防火墙

2011-03-16 12:46:29

CentOSiptables防火墙

2014-08-05 09:50:40

CentOS防火墙

2009-11-30 13:05:00

Suse防火墙

2012-04-17 09:58:41

RedHat Linu防火墙

2009-12-10 16:02:11

Juniper防火墙配
点赞
收藏

51CTO技术栈公众号