使用RedHat9架设拥有防火墙功能及允许.pdf

利用 RedHat 9 架設擁有防火牆功能及允許 特定機器使用內部網路並上網的 IP 分享器 網際網路在現在的社會中，已經成為大家日常生活裡不可或缺的一部分，然 而由於當初設計不夠完善，現在大家所可分配到且使用的IP數目嚴重的不足， 導致一般民眾或是中小型企業，若是需要有多部電腦同時間上網，此時便得花錢 採購IP分享器來使用，方有辦法達成多台電腦同時上網的可能性。 然而，有些 IP 分享器雖然便宜，可是卻不具防火牆功能。抑或是雖有防火 牆功能，可是卻無法同時間處理大量的網路封包流量，導致效果不彰，拖垮了整 個企業的網路品質。 而現今一般中小型企業，在內部的網路上，大部分皆是使用 DHCP 伺服器 來發送 IP ，可是這有個潛在的安全性漏洞問題，有就是說，若是一個外人或訪 客，他帶了筆記型電腦及網路線，只要插上貴公司的網路連接埠，他就可以上網 並使用貴公司內部網路的所有資源。至於他有沒有藉此從事違法或是破壞貴公司 資安的事情，我們實在是很難去查覺。也因為這樣，筆者在本篇文章中將會採取 bind 網路卡 mac address 的方式，來讓 DHCP 伺服器根據有經過網管人員登記 的網卡 mac address 來發放 IP，而未登記的，便不發給IP。相信如此一來，將可 稍稍杜絕資安問題的產生。 RedHat linux 可說是現今市面上最廣為被大家所採用的 linux 作業系統，它 的高穩定性及易使用性，長期以來，一直頗受好評。本篇文章適用於中小企業在 其自身的網路環境中架設低成本且具高可靠性的 IP 分享器，整個網路架構如下 【圖一】所示： 【圖一、網路架構圖】 為了達成上述的目的，筆者建議在硬體上可稍稍做些投資，也就是說基本上 這部機器的 CPU 最好能夠是 Pentium 4 以上等級，而且最好能有1GB的記憶體 及兩片網路卡，這麼一來，在整體效能的表現上，相信必定會令您感到物超所值 的。 準備好硬體之後，接著我們便必須安裝軟體，為了達到防火牆以及IP 分享 器這雙重功能，我們必須安裝iptables 及dhcpd 兩種套件，然而由於篇幅所限， 筆者便不贅述該二套件的安裝程序。 當我們將軟硬體設施都搞定後，緊接著就來到本篇文章的重點，也就是應該 要如何設定才能讓RedHat 9 成為具有防火牆及IP分享器的功能呢？其實所謂的 IP分享器，在Linux 系統看來，也就是 『NAT+DHCP』功能。而 「NAT」是 『Network Address Translation』的簡稱，中文翻譯為『網路位址轉譯』。這也就意味著，當 有某台Client端的機器要求連線網際網路的時候，此時NAT 伺服器會將該Client 端的虛擬IP 位址（假設為 ）轉換成NAT 伺服器上的真實IP位址（假 設為 140.109.XXX.XX）來進行連線行為。也因此對於網際網路上的眾多伺服器 而言，這些伺服器會以為是該台NAT 伺服器（140.109.XXX.XX）要求服務，而 不知道其實是 這台機器提出要求要連線網際網路，尋求包括檔案傳 輸、瀏覽網頁等各項服務的。 至於DHCP（Dynamic Host Configuration Protocol的縮寫），相信對於一般的網 路管理者而言，可說是必備的管理常識。我們都知道，每一台機器如果要上網， 便須擁有一個IP位址才行，然而若是每台機器都要由網管人員一台一台地去設 定IP位址，如果數量少的話，大致都還可以應付。但是，假設一個企業有超過 1000 台以上的機器，此時如果也要網管人員逐一去設定的話，不但浪費時間， 且毫無經濟效益，而網管人員也非得累的半死不可 。也因此DHCP也就應運而 生，因為 DHCP伺服器可以自動幫網管人員分配並發送 IP，所以 Client 端的機器， 只要在網路設定上使用『自動取得IP位址』的設定，便可以順利由DHCP伺服 器上獲取一個IP了。 由於虛擬IP 無法在網際網路上傳送繞行，也因此這麼一來，在我們圖一的 網路架構中，我們會將公司內部的 Client端的電腦都設定使用虛擬IP。這麼做有 兩個好處： 1. 節省 IP ：因為現在可用的真實IP已經愈來愈少，因此若是可分配到幾個 真實IP，對一個中小企業而言，可說是相當彌足珍貴的。所以這些真實IP 勢必定會用到刀口上，也就是說會用到企業對外聯絡的重要服務伺服器上 面。而虛擬IP由於不會出現在網際網路上，更何況它