科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用Linux防火墙构建软路由(2)

用Linux防火墙构建软路由(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法,此方法为内部网与外部网的互连提供了一种简单、安全的实现途径。

作者:51CTO.COM 2007年11月11日

关键字: 网关 软路由 防火墙 Linux

  • 评论
  • 分享微博
  • 分享邮件

  BROADCAST1="192.168.0.255"

  #第二块卡的内部网广播地址

  /sbin/ifconfigeth0${IPADDR}

  broadcast${BROADCAST}metmask${NETMASK}

  #设置第一块卡

  /sbin/ifconfigeth1${IPADDR1}

  broadcast${BROADCAST1}metmask$

  {NETMASK1}

  #设置第二块卡

  /sbin/routeadd-net${NETWORK}

  netmask${NETMASK}

  /sbin/routeadddefaultgw$

  {GATEWAY}metric1

  /sbin/routeadd-net${NETWORK1}

  netmask${NETMASK1}

  要测试网关设置情况,可以用“ifconfig”命令测试,运行该命令后,会显示出eth0和eth1及上面我们修改的相关内容,如果没有显示这些相关信息,说明设置不正确,还要重新再来一次。

  三、构建软路由

  1.IP地址转换

  IP地址转换也称为IP地址伪装或IP地址欺骗,也就是指当内部网机器登录到防火墙上时,防火墙将内部网IP(不合法的外部网IP地址)伪装成合法的外部网IP地址,再与外部网通信。IP地址伪装的命令格式如下:

  ipfwadm-F-amasquerade-D0.0.0.0/0-Weth0

  其中“-D0.0.0.0/0”表示允许对所有内部网IP地址进行转换,“-Weth0”表示内部网IP地址是通过网卡1进行转换的。

  IP地址伪装设置完毕后,就可以在内部网机器上ping一下外部网的机器,如果防火墙上的forwarding没有被关闭的话,就可以ping通了,说明配置一切正确。

  2.设定访问外部网的权限

  为了加强对网络的管理,有时要对内部网访问外部网进行一定的限制,这种限制包括:(1)允许哪些机器可以上网;(2)允许访问哪些站点。

  限制上网机器可以参照以下脚本:

  ipfwadm-F-pdeny#全部拒绝内部网机器上网

  ipfwadm-F-am-S192.168.0.5/32

  -d0.0.0.0/0#允许192.168.0.5机器对

  外部网的访问

  限制访问站点,可以这样设置:

  ipfwadm-O-ireject-D0.0.0.0/0

  #对外部网的所有站点加以

  拒绝

  ipfwadm-O-iaccept-D202.114.0.0/16

  #允许访问202.114.0.0~

  202.114.255.255内的所有站点

  上述设置中,“0.0.0.0/0”表示全部网址,“202.114.0.0/16”表示202.114.0.0至202.114.255.255的所有站点。

  3.统计IP包流量

  IP包流量记账的设置如下:

  ipfwadm-A-f

  /sbin/ipfwadm-A-f

  /sbin/ipfwadm-Aout-I-S192.168.0.0

  /32-D0.0.0.0/0

  #对所有流出包

  统计

  /sbin/ipfwadm-Ain-I-S192.168.0.0

  /32-D0.0.0.0/0

  #对所有流入包

  统计

  所在记账的统计都存放于/proc/net/ip_acct文件中,其所有IP地址均为16进制表示。

  以上所有脚本,既可放置在/etc/rc.d文件中,也可单独设立shell脚本,用命令sh执行。

  以上设置均在RedHat5.1上运行通过。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章