随心订制linux透明防火墙(1)

　　一般而言，防火墙的两个网络接口应分属两个不同的网络，根据系统管理员定义的访问规则在两个接口之间转发数据包，或者拒绝、丢弃数据包。实际上，防火墙不单单是访问控制的功能，而且还充当了路由器的角色。当然，这并非有什么不妥当的地方，但是当你企图把你配置好的linux防火墙放入运行网络，来保护现有系统安全的时候，你不得不重新考虑和更改你的网络架构。另外一个可能的麻烦是，当防火墙发生意外时，如果没有防火墙的硬件备份的话，那么你将面临巨大的心理压力，因为防火墙的故障，整个网络瘫痪了。假如你把防火墙配置成透明模式（可称为伪网桥），就无需更改网络架构，即使是防火墙不能工作了，要做的仅仅是拔出网线，把网线直接插在路由器的内部接口就可以让网络正常工作，然后你就有时间慢慢恢复发生故障的防火墙。

　　好了，既然透明防火墙有那么多方便，我们赶快动手来配置吧！准备一台pc机，两块网卡（建议用3com网卡），网线若干，redhat linux 9安装盘一套。打开机箱，把两块网卡插入计算机的pci插槽，用网线把计算机分别与网关和交换机相连（如前页图“正常状态”那样）；盖上计算机的盖子，插上电源，开机。在光驱里放上Linux 9安装光盘，由光盘引导计算机，从而安装Linux 系统。选择定制安装，不要保守，多花一点时间体验一下图形界面的安装乐趣，取消防火墙（no firewall），在安装快结束时选择以文本方式登录系统，完成安装。

　　透明防火墙功能配置：

　　1、设置网络地址。修改文件 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1，使其具有相同的ip地址，相同的子网掩码。

　　用vi 来编辑如下，保存文件，运行命令 service network restart 使修改生效。

　　DEVICE=eth0

　　BOOTPROTO=none

　　BROADCAST=192.168.1.255

　　IPADDR=192.168.1.254

　　NETMASK=255.255.255.0

　　NETWORK=192.168.1.0

　　ONBOOT=yes

　　USERCTL=no

　　PEERDNS=no

　　TYPE=Ethernet DEVICE=eth1

　　BOOTPROTO=none

　　BROADCAST=192.168.1.255

　　IPADDR=192.168.1.254

　　NETMASK=255.255.255.0

　　NETWORK=192.168.1.0

　　ONBOOT=yes

　　USERCTL=no

　　PEERDNS=no

　　TYPE=Ethernet

　　这里需要注意两个地方，第一个是要区分清楚那一个网卡是eth0，那一个是 eth1.这个问题十分关键，如果搞混了就会导致防火墙不能连通网络。至于怎样区分eth0和 eth1，我将在文章的末尾作简单的描述。在这里假定与路由器相连的网卡是eth0.