教會你配置Linux透明防火墻
你在上網時,是不是經常受到攻擊,怎樣才能避免這樣的攻擊的,我們應該配置Linux透明防火墻,這就又出現了一個問題,怎樣配置配置Linux透明防火墻?
1.設置網絡地址。修改文件 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1,使其具有相同的ip地址,相同的子網掩碼。用vi 來編輯如下,保存文件,運行命令 service network restart 使修改生效。
- DEVICE=eth0
- BOOTPROTO=none
- BROADCAST=192.168.1.255
- IPADDR=192.168.1.254
- NETMASK=255.255.255.0
- NETWORK=192.168.1.0
- ONBOOT=yes
- USERCTL=no
- PEERDNS=no
- TYPE=Ethernet DEVICE=eth1
- BOOTPROTO=none
- BROADCAST=192.168.1.255
- IPADDR=192.168.1.254
- NETMASK=255.255.255.0
- NETWORK=192.168.1.0
- ONBOOT=yes
- USERCTL=no
- PEERDNS=no
- TYPE=Ethernet
這里需要注意兩個地方,第一個是要區分清楚那一個網卡是eth0,那一個是 eth1.這個問題十分關鍵,如果搞混了就會導致防火墻不能連通網絡。至于怎樣區分eth0和 eth1,我將在文章的末尾作簡單的描述。在這里假定與路由器相連的網卡是eth0。
2.設置默認路由。在文件 /etc/sysconfig/network-scripts/ifcfg-eth0 中加入一行 gateway=192.168.1.1 保存后運行命令 service network restart ,修改生效。找一個開放ICMP協議的公網IP,用命令ping 202.108.36.196 (www.163.com 的主機)檢測跟外網的連通狀況,如果正常,表明Linux防火墻主機跟外網配置正確。再用命令ping 192.168.1.18 檢測防火墻主機與內網主機的連通狀況,如果正常則進行下一步操作。
3.啟用網絡轉發和proxy_arp 。這是透明防火墻的核心部分,我把它們寫進文件/etc/rc.d/rc.local。用vi /etc/rc.d/rc.local 插入如下內容。在做這一步的時候,我曾經花費較多的時間,因為我做參考的那本書里的這一步沒有參數 “–w” ,后來單獨運行 sysctl net.ipv4.conf.eth0.proxy_arp=1 才發現red hat Linux 9 沒有參數“-w”不能運行。
- #Ip forward
- /sbin/sysctl -w net.ipv4.conf.all.forwarding=1
- #Enable proxy-arp
- /sbin/sysctl -w net.ipv4.conf.eth0.proxy_arp=1
- /sbin/sysctl -w net.ipv4.conf.eth1.proxy_arp=1
4、 指定路由。由于兩塊網卡(eth0,eth1)使用同樣的ip ,如果不專門指定轉發路徑,一定會導致路由混亂,從而使防火墻以內的計算機沒法訪問 Internet 。還是用命令 vi 修改文件 /etc/rc.d/rc.local ,插入如下幾行。保存文件,重新啟動計算機。
- #Define route
- /sbin/ip route del 192.168.1.0/24 dev eth0
- /sbin/ip route add 192.168.1.1 dev eth0
- /sbin/ip route add 192.168.1.0/24 dev eth1
Linux防火墻,如果不出意外,就可以從192.168.1.18 這臺主機訪問Internet,當然內網的任何機器都是可以訪問Internet 的。在這里對定義的路由(Define route)作些說明:/sbin/ip route del 192.168.1.0/24 dev eth0 表明所有到子網192.168.1.0/24的數據包都不從網卡eth0轉發而從 eth1轉發,即命令 /sbin/ip route add 192.168.1.0/24 dev eth1;/sbin/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的數據包都由eth0轉發,這其實可以理解為兩個網卡數據轉發的分工—到192.168.1.1 的數據包由eth0負責,其余的由eth1負責。這樣你就完成配置Linux透明防火墻,選擇的防火墻規則為中等級別,那么這個防火墻已經配置成功了。
【編輯推薦】
