linu透明防火墙分析和总结.docx

一、网络结构

在现有网络中增加防火墙，主要作用为控制内部上网等等。要求可以灵活控制，包括时间段不同控制，流量限制等。

现有网络拓扑图：

由于安装防火墙时要求不需要修改内网服务器和PC机配置，所以采用透明防火墙（网桥模式）。

修改后拓扑图：

防火墙需要三块网卡，其中两块网卡做网桥，一块网卡配置ip做为管理用网卡。内部网络要访问不同网段，数据包需要路由转换，这时就要通过防火墙才能到达路由。防火墙采用linux系统，使用iptables和ebtables进行过滤数据包。经过测试交换机划分vlan在路由器终结数据包，这样的数据包可以在iptables和ebtables中进行分析处理。网桥在网络的第二层，iptables和ebtables在linux2.6内核中可以分析到第二层的数据包。

二、防火墙工具分析

iptables说明

Iptables对数据包的处理流程：数据包进入系统，经过IP校验后经过PREROUTING链中的Mangle和Nat的处理；再经过路由查找，决定该数据包需要转发还是发给本机；如果该数据包是发给本机的，则经过INPUT链的Mangle和Filter处理后再传递给上层协议；如果需要转发，则发给FORWARD链的Mangle和Filter进行处理；本机网络层以上各层产生的数据包通过OUTPUT链的Mangle、Nat、Filter处理后，再进行路由选择；所有需要发送到网络中的数据包，都必须经过POSTROUTING链的Mangle和Nat进行处理。

ebtalbles说明

Ebtables对数据帧的处理过程：数据帧进入数据链路层，首先经过BROURING链的Broute处理，决定是直接路由该数据帧还是让它进入到PREROUTING链，如果数据帧的目的地址和源地址在同一个网段，网桥会屏蔽它；如果数据帧是多播帧或广播帧，则要在同一网段中除了接收端口以外的其他端口发送这个数据帧。接下来，数据帧到达PREROUTING链后可以改变目的MAC地址（DNAT）；当数据帧通过PREROUTING链后，Ebtables将会根据该数据帧的目的MAC地址决定是否转发该帧，如果这个帧的目的MAC是本机的，就会进入到INPUT链，在这个链中，可以过滤进入本机的数据帧，通过INPUT链后，就到达网络层，数据帧变成数据包；如果数据帧的目的MAC不是本机的，它进入FORWARD链，FORWARD链将过滤

数据帧；然后这个数据帧就会到达POSTROUTING链，在这里可以改变数据帧的源MAC地址（SNAT）。由本机产生的帧，首先判断是否需要Bridging，如果不需要则进行直接路由；如果需要就会进入到OUTPUT链中，以对数据帧改变目的MAC地址（DNAT）和过滤，接下来这个帧到达POSTROUTING链，这个链可以改变数据帧的源MAC地址（SNAT）；最后，这个帧就到达了NIC。

桥接方式的处理流程

当数据帧进入Linux网桥后，先通过Ebtables的BROUTING链和PREROUTING链；接下来，经过Iptables的PREROUTING链，这时还是在数据链路层，而不是在Iptables通常起作用的网络层，这就是br_nf帮助数据帧在数据链路层可以经过Iptables链的作用；然后，经过Ebtables的FORWARD链和Iptables的FORWARD链；最后，先后经过Ebtables和Iptables的POSTROUTING链。

总结

从前面的叙述，可以看到无论桥接还是路由方式，数据帧都会经过Iptables的FORWARD链，这样就可以利用Iptables/Ebtables设计一个网桥防火墙。Linux2.6中的Ebtables/Iptables是一个非常强大的防火墙系统，可以同时在数据链路层和网络层对数据帧或数据包进行过滤、地址转换、数据包传输特性的改变。利用Ebtables/Iptables可以构建一个网桥路由器，尤其重要的是它还可以连接不同协议的网络，实现过滤等功能。因此，利用Ebtables/Iptables可以构建一种简单宜用、功能强大、经济高效的网桥防火墙。

由于iptables功能比ebtables更强大，应用也较为广泛，所以一般都使用iptables来做防火墙。

三、系统安装

centoslinux5.0是使用linux2.6内核的操作系统。1）系统安装

1．输入linuxtext选择text安装模式。2．安装时语言环境选