科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何用奔腾机和Linux构建防火墙(4)

如何用奔腾机和Linux构建防火墙(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

老奔腾机完全可以胜任小型商业或家庭办公室的网络防火墙工作。ipchains 是 Linux 下的防火墙软件,其源码可以免费获得,并能够在老式奔腾机的 T-1 连网环境下工作。

作者:51CTO.COM 2007年11月12日

关键字: 防火墙 Linux ipchains 奔腾机

  • 评论
  • 分享微博
  • 分享邮件

  echo "0" >/proc/sys/net/ipv4/ip_dynaddr

  /sbin/ipchains -X

  /sbin/ipchains -F

  /sbin/ipchains -P input ACCEPT

  /sbin/ipchains -P output ACCEPT

  /sbin/ipchains -P forward ACCEPT

  echo "."

  ;;

  *)

  echo "Usage: /etc/rc.d/init.d/packetfilter {start|stop}"

  exit 1

  ;;

  esac

  exit 0

  在要从不同级别执行包过滤服务之前,您得建立符号链接。网络已经启动的情况下,首先确认包过滤器已运行在初始级别2和3下。

  # ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc2.d/S09packetfilter

  # ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc3.d/S09packetfilter

  以上两条命令建立了符号链接,从而保证在 Red Hat Linux 的网络有效前启动包过滤器。某种网络服务的名称应该类似于 SXXnetwork,其中的 "XX" 指定了该服务的启动次序。请选择一个其他启动脚本内未指定的,比所有网络服务启动次序号都低的"XX"。上面的例子中,网络启动脚本命名为 "S10network" 。

  类似的,在网络服务关闭后也应该停止包过滤器的符号连接。该例子中,网络接口关闭位于脚本 K90network,因此包过滤器脚本链接为 K91packetfilter。

  # ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc0.d/K91packetfilter

  # ln -s /etc/rc.d/init.d/packetfilter /etc/rc.d/rc1.d/K91packetfilter

  最后,在 Red Hat 系统中,您务必确保文件 /etc/sysconfig/network 中含有下列条目:

  FORWARD_IPV4="yes"

  一旦重新启动机器,包过滤器就启动了。到目前为止,您还没有制定任何过滤规则。下面我们将继续这个规则设置步骤。

  配置防火墙

  如果您用了防火墙,就可以使用公共因特网上无效的某段网址,或者用 NAT 。这样,主干网的主要路由器将视那些来自私人地址的包为非法而予以丢弃。这些段址已经定义并在文献 RFC 1918列举出来(参看表 1)。这样的段址共有三套,但对于绝大多数公司来说,192.168.0.0 就足够了。在下面的例子中我们也将采用这套段址。

  表 1: 分配给私有网络的 IP 地址

  起始地址 结束地址 CIDR 段址前缀 地址数目

  10.0.0.0 10.255.255.255 10.0.0.0/8 ~ 16,000,000

  172.16.0.0 172.31.255.255 172.16.0.0/12 ~ 4,000,000

  192.168.0.0 192.168.255.255 192.168.0.0/16 ~ 65,000

  您的内部网的全部机器都应该用这些给定地址范围来标识。比如 192.168.1.22 防火墙的内部接口应占用第一个地址 192.168.0.1。以 .0.0、.0、.255 和 .255.255 结尾的是系统保留地址,所以不要把他们分配给任何机器。在起始地址和结束地址范围之内的其他 IP 地址可按个人喜好分配.

  下面的例子包括四个台式机和四个服务器。名为 stranger的台式机禁止进入防火墙保护的内部网络,而 familiar则可以。名为 Freedom的服务器位于公司内部网络,但不受防火墙保护,这对向公开的网站来说是常见的。分配给这些机器的网络地址是随便给定的,但是它们被划分成不同的网络地址集合 (192.168.x.x 分配给防火墙内部网, 216.19.15.x 分配给防火墙外部但仍处于公司内部的网络, 198.102.x.x 指的是公共因特网址)。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章