亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網絡,我們將竭誠為您提供優質的服務! 誠征網絡推廣 | 網站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業務咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術文章 >> 文章瀏覽
技術文章

隨心訂制linux透明防火墻

添加時間:2010-11-21  添加: admin 
一般而言,防火墻的兩個網絡接口應分屬兩個不同的網絡,根據系統管理員定義的訪問規則在兩個接口之間轉發數據包,或者拒絕、丟棄數據包。實際上,防火墻不單單是訪問控制的功能,而且還充當了路由器的角色。當然,這并非有什么不妥當的地方,但是當你企圖把你配置好的linux防火墻放入運行網絡,來保護現有系統安全的時候,你不得不重新考慮和更改你的網絡架構。另外一個可能的麻煩是,當防火墻發生意外時,如果沒有防火墻的硬件備份的話,那么你將面臨巨大的心理壓力,因為防火墻的故障,整個網絡癱瘓了。假如你把防火墻配置成透明模式(可稱為偽網橋),就無需更改網絡架構,即使是防火墻不能工作了,要做的僅僅是拔出網線,把網線直接插在路由器的內部接口就可以讓網絡正常工作,然后你就有時間慢慢恢復發生故障的防火墻。

  好了,既然透明防火墻有那么多方便,我們趕快動手來配置吧!準備一臺pc機,兩塊網卡(建議用3com網卡),網線若干,redhat linux 9安裝盤一套。打開機箱,把兩塊網卡插入計算機的pci插槽,用網線把計算機分別與網關和交換機相連(如前頁圖“正常狀態”那樣);蓋上計算機的蓋子,插上電源,開機。在光驅里放上Linux 9安裝光盤,由光盤引導計算機,從而安裝Linux 系統。選擇定制安裝,不要保守,多花一點時間體驗一下圖形界面的安裝樂趣,取消防火墻(no firewall),在安裝快結束時選擇以文本方式登錄系統,完成安裝。

  透明防火墻功能配置:

  1、設置網絡地址。修改文件 /etc/sysconfig/network-scripts/ifcfg-eth0 和 /etc/sysconfig/network-scripts/ifcfg-eth1,使其具有相同的ip地址,相同的子網掩碼。

  用vi 來編輯如下,保存文件,運行命令 service network restart 使修改生效。

  DEVICE=eth0

  BOOTPROTO=none

  BROADCAST=192.168.1.255

  IPADDR=192.168.1.254

  NETMASK=255.255.255.0

  NETWORK=192.168.1.0

  ONBOOT=yes

  USERCTL=no

  PEERDNS=no

  TYPE=Ethernet DEVICE=eth1

  BOOTPROTO=none

  BROADCAST=192.168.1.255

  IPADDR=192.168.1.254

  NETMASK=255.255.255.0

  NETWORK=192.168.1.0

  ONBOOT=yes

  USERCTL=no

  PEERDNS=no

  TYPE=Ethernet

  這里需要注意兩個地方,第一個是要區分清楚那一個網卡是eth0,那一個是 eth1.這個問題十分關鍵,如果搞混了就會導致防火墻不能連通網絡。至于怎樣區分eth0和 eth1,我將在文章的末尾作簡單的描述。在這里假定與路由器相連的網卡是eth0.

  2、設置默認路由。在文件 /etc/sysconfig/network-scripts/ifcfg-eth0 中加入一行 gateway=192.168.1.1 保存后運行命令 service network restart ,修改生效。找一個開放ICMP協議的公網IP,用命令ping 202.108.36.196 (www.163.com 的主機)檢測跟外網的連通狀況,如果正常,表明Linux防火墻主機跟外網配置正確。再用命令ping 192.168.1.18 檢測防火墻主機與內網主機的連通狀況,如果正常則進行下一步操作。

  3、啟用網絡轉發和proxy_arp 。這是透明防火墻的核心部分,我把它們寫進文件/etc/rc.d/rc.local。用vi /etc/rc.d/rc.local 插入如下內容。

  #Ip forward

  /sbin/sysctl -w net.ipv4.conf.all.forwarding=1

  #Enable proxy-arp

  /sbin/sysctl -w net.ipv4.conf.eth0.proxy_arp=1

  /sbin/sysctl -w net.ipv4.conf.eth1.proxy_arp=1

  在做這一步的時候,我曾經花費較多的時間,因為我做參考的那本書里的這一步沒有參數 “–w” ,后來單獨運行 sysctl net.ipv4.conf.eth0.proxy_arp=1 才發現red hat Linux 9 沒有參數“-w”不能運行。

  4、 指定路由。由于兩塊網卡(eth0,eth1)使用同樣的ip ,如果不專門指定轉發路徑,一定會導致路由混亂,從而使防火墻以內的計算機沒法訪問 Internet 。還是用命令 vi 修改文件 /etc/rc.d/rc.local ,插入如下幾行。

  #Define route

  /sbin/ip route del 192.168.1.0/24 dev eth0

  /sbin/ip route add 192.168.1.1 dev eth0

  /sbin/ip route add 192.168.1.0/24 dev eth1

  保存文件,重新啟動計算機/Linux防火墻,如果不出意外,就可以從192.168.1.18 這臺主機訪問Internet,當然內網的任何機器都是可以訪問Internet 的。在這里對定義的路由(Define route)作些說明:/sbin/ip route del 192.168.1.0/24 dev eth0 表明所有到子網192.168.1.0/24的數據包都不從網卡eth0轉發而從 eth1轉發,即命令 /sbin/ip route add 192.168.1.0/24 dev eth1;/sbin/ip route add 192.168.1.1 dev eth0 表明所有到192.168.1.1的數

分享到:

頂部 】 【 關閉
版權所有:佛山思海電腦網絡有限公司 ©1998-2024 All Rights Reserved.
聯系電話:(0757)22630313、22633833
中華人民共和國增值電信業務經營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網安 舉報有獎  警警  手機打開網站