iptables透明桥防火墙.doc

Linux在校园网中的应用之 ----构建具有状态检测机制的透明模式防火墙 随着互联网的普及，网络的安全越来越受到学校的重视。为了应对日益严峻的网络安全状况，减少外网的攻击，学校不得不花钱购买防火墙。对于经费紧张的学校来说，这是一笔不小的开支。其实，只要网络管理员自己动手，用一台PC机，利用linux系统完全可以制作出一台高性能的防火墙，满足学校的需求。既可以学到大量的知识，也可以为学校节约经费。 为了不改变学校网络结构，本例中把防火墙配置成透明模式（伪网桥），直接在路由器的内部接口就可以让网络正常工作，即使是防火墙不能工作了，要做的仅仅是拔出网线，/pub/iptables/iptables-1.4.0.tar.bz2 2.2解压缩 #bzip2 -d iptables-1.4.0.tar.bz2 #tar xvf iptables-1.4.0.tar 进入解压后的目录 #cd iptables-1.4.0/ 2.3编译安装 #make KERNEL_DIR=/usr/src/linux- #make install KERNEL_DIR=/usr/src/linux- #iptables –V 查看iptables版本 依然为1.2.11 #cd /sbin #cp /usr/local/sbin/iptables /sbin/iptables 将新安装iptables拷贝到/sbin下. #iptables –V 查看iptables版本为1.4.0 iptables-1.4.0安装完成。 三、编译安装bridge-utils 3.1进入到/usr/src目录下，下载bridge-utils-1.4.tar.gz #cd /usr/src #wget /bridge-utils/main/1.4/+download/bridge-utils-1.4.tar.gz 3．2解压缩 #tar zxvf bridge-utils-1.4.tar.gz 进入 bridge-utils-1.4目录， #cd bridge-utils-1.4 3．3编译安装 #autoconf 生成configure文件 #./configure #make #make install 编译安装完成。 最后将命令brctl拷贝到/sbin下： #cp /usr/local/sbin/brctl /sbin 四、配置Linux为网桥设备 图一是校园网的原始网络拓扑简图，Web服务器和内网用户通过交换机连接到路由器设备上。现在要在不改变原来网络结构的情况下，在路由器和交换机之间接入一台 Linux系统作的透明网桥防火墙，以实现对内网服务器和用户的保护。 图二是加入防火墙后的拓扑图。 图一 图二 4．1创建网桥中常见的命令和用法 4.1.1创建网桥设备 #brctl addbr br0 （创建一个叫br0的网桥设备） 4.1.2向br0中添加网卡eth0和eth1 #brctl addif eth0 #brctl addif eth1 4.1.3如果添加的网卡不符合要求，可以用以下命令从网桥中删除网卡eth0 和eth1 #brctl delif eth0 #brctl delif eth1 4.1.4删除网桥br0命令 #brctl delbr br0 多数情况下，我们做网桥防火墙需要一台三网卡的服务器，2个网卡做桥接，另外一个网卡配上地址作为管理口，以便远程对防火墙进行管理。如果只有两块网卡,也可以用如下命令，直接把管理端口配置在br0设备上。 4.1.5在网桥br0上配置ip地址： #ifconfig br0 71 netmask broadcast 55 （假设网桥的管理地址是71,子网掩码是24位） 4．2 具体配置： 下面我们创建一个名称是br0的网桥，将整个配置命令写在一个脚本文件upbridge中。 进入/usr/local目录 #cd /usr/local 编辑upbridge。 #vi upbdigde 输入下面内容 brctl addbr br0 brctl addif br0 eth1 brctl addif br0 eth2 ifconfig br0 up 保存后 再执行命令 #chmod 770 upbridge ，将脚本upbridge的属性改为可执行。 该脚本的作用是：创建一个名为br0的网桥，并且将网卡eth1,eth2添加至br0，然后启动该网桥。 为了能够在系统启动的时候自动执行该脚本，我们修改/etc/rc.local文件 #vi /etc/rc.local 添加一句：/usr/local/upbridge ，表示在系统启动的时候，通过rc.local来执行upbri