基于Linux的路由器和防火墙配置
作者:nanakuailed | 来源:互联网 | 2017-11-07 04:14
文章标题:基于Linux的路由器和防火墙配置。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
目前。网络操作系统Linux已成计算机技术专业人员的操作系统,技术人员通过简单的安装,就可以获得Linux提供的多项网络服务,例如域名服务、电子邮件、匿名FTP服务等。同时,它还提供了图形工作站所具有的Xwindows系统。最新的Linux7.2完全已经具备了网络服务器的所有功能。在此,本公司想结合自身的工作经验,谈谈Linux在另一方面的用途,即将Linux作为路由器连接两个不同的网段,并在其上配置防火墙,以 实现网络的存取访问控制和流量统计的功能。
要想使一台装有Linux的PC具有路由器的功能,首先要进行硬件配置。假设为一台Router的PC上装有Linux系统,并配有两块网卡,每块网卡连接一个不同的网段,该机作 为路由器在两个网段间转发IP数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动 程序将中断分别设为不同值。我们公司在实践中将其中断号和I/O地址分别设置为:3,0x300H 和4,0x320H。
硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模式下,Linux系统不具 备路由器的功能,因此,必须重新安装Linux内核。以Slackware版的Linux为例,其重新配 置内核的过程为 1. #cd/usr/src/linux
/*进入Linux的源代码目标*/
2. #make config
/*进行编译选项的配置*/
在该步中,系统会提供编译过程中的一些选项,供用户根据自己的实际情况进行选择 。对于无法确定的选项,用户可选择系统缺省值。在网络部分编译的询问中,会出现如下 的提示:
network firewall[y/n/N]?
/*内核是否支持防火墙*/
……
TCP/IP networking[n/y/Y]?
/*主机是否连接TCP/IP网络*/
IP: forwarding/gatewaying [n/y/Y]?
/*主机是否转发数据库或作为网关*/
……
IP:firewalling[y/n/N]?
/*是否在TCP/IP网络内设置防火墙*/
IP:firewall packet logging[y/n/N]?
/*是否在防火墙上登记数据包*/
……
IP:accounting[y/n/N]?
/*是否对数据包计帐*/
IP:optimize as router not host[y/n/N]?
/*是否将主机设置为路由器*/
……
IP:multicats routig [y/n/N]?
/*路由器是否向外广播路由信息*/
因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这些选项统一选"y"。
3.#make dep
/*根据编译选项做编译前的准备工作*/
4.#make zlmage
/*开始编译内核并命名编译后的内核文件名为zlmage*/
编译后的内核存于"/usr/src/linux/arch/i386/boot"目录。在系统原内核备份后, 用户可将该文件拷贝到根目录下,并改名为"vmlinuz",运行"lilo",使其在下次启动时生 效。
重构内核后,需对两块网卡的TCP/IP部分进行设置,使其能有效地连接两个不同的网 段,并能在两个网段进行IP数据包的转发。设置步骤为(其中的参数依图中所示):
1.对于NE2000兼容的网卡,修改"/etc/rc.d/rc.modules"文件;
/sbin/modprobe ne io=0x300,0x320
/*识别两块网卡*/
2.修改"/etc/rc.d/rc.inetl"文件,设置两网卡的IP地址、掩码及到两网卡的路由信息;
IPADDR="202.207.0.27"
NETWORK="202.207.0.0"
BROADCAST="202.207.0.255"
IPADDR1="202.207.7.2"
NETWORK1="202.207.7.0"
BROADCAST1="202.207.7.255"
NETMASK="255.255.255.0"
/sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netmask${NETMASK}
/sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} netmask${NETMASK}
/sbin/route add-net ${NETWORK} netmask${NETMASK} eth0
/sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1
3.修改"/etc/rc.d/rc.inet2"文件,打开关于"Routed Server"的注释,使其可以与其它路由器交换路由信息,并转发IP数据包。
## Start the Routed server
if[-f ${NET}/routed];then
echo -n"routed"
${NET}/routed -g -s
/*启动程序*/
fi
4.在"/etc/lilo.conf"文件中增加一行,使其在启动时识别第二块网卡。
append="ether=0,0x320,ethl"
完成上面的设置后,应重新启动计算机,系统会识别到两块网卡,并按照"/etc/rc.d/ rc.intel"文件中的说明对网卡的IP地址、掩码进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面的命令即可看到关于网卡和路由的信息。
#ifconfig /*显示网卡的详细信息*/
#route
/*显示系统的路由表*/
我们公司曾将某公司机房局域网内的PC通过Linux路由器与本地教育网相接,并进一步通过本地教育网进入Internet。此外,笔者又在Linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了公司内部人员对非法IP地址的访问,并成功地记录下每个IP地址的网络流量,为计费和网 管提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。其命令格式非常简单,现举例如下:
#ipfwadm -A
/*对通过路由器的所有数据包进行计帐*/
#ipfwadm -I -a accept -S 162.105.0.0/16
/*接受来自162.105.0.0网络的所有数据包*/
#ipfwadm -I -a deny -S 159.226.0.0/16
/*丢掉来自159.226.0.0网络的所有数据包/
#ipfwadm -O -a reject -S 210.32.0.0/12
/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/
配置用户可根据实际需要进行防火墙的配置,以达到期望的效果。 或者在安全中介商的协助下完成安全配置。
推荐阅读
-
本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ...
[详细]
蜡笔小新 2023-12-13 13:23:48
-
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
-
-
本文介绍了在rhel5.5操作系统下搭建网关+LAMP+postfix+dhcp的步骤和配置方法。通过配置dhcp自动分配ip、实现外网访问公司网站、内网收发邮件、内网上网以及SNAT转换等功能。详细介绍了安装dhcp和配置相关文件的步骤,并提供了相关的命令和配置示例。 ...
[详细]
蜡笔小新 2023-12-14 17:13:20
-
本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ...
[详细]
蜡笔小新 2023-12-14 14:01:06
-
本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ...
[详细]
蜡笔小新 2023-12-14 13:59:45
-
本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ...
[详细]
蜡笔小新 2023-12-13 20:24:11
-
本文介绍了iOS开发中检测和解决内存泄漏的方法,包括静态分析、使用instruments检查内存泄漏以及代码测试等。同时还介绍了最能挣钱的行业,包括互联网行业、娱乐行业、教育行业、智能行业和老年服务行业,并提供了选行业的技巧。 ...
[详细]
蜡笔小新 2023-12-09 10:07:05
-
我一直都有记录信息的习惯,不知是从什么时候开始,大约是在工作后不久。如今还真有点庆幸从那时开始记了点东西,当然是电子版的,写 ...
[详细]
蜡笔小新 2023-10-17 15:25:25
-
本文比较了eBPF和WebAssembly作为云原生VM的特点和应用领域。eBPF作为运行在Linux内核中的轻量级代码执行沙箱,适用于网络或安全相关的任务;而WebAssembly作为图灵完备的语言,在商业应用中具有优势。同时,介绍了WebAssembly在Linux内核中运行的尝试以及基于LLVM的云原生WebAssembly编译器WasmEdge Runtime的案例,展示了WebAssembly作为原生应用程序的潜力。 ...
[详细]
蜡笔小新 2023-12-14 21:27:37
-
本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的步骤,包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ...
[详细]
蜡笔小新 2023-12-14 17:03:58
-
这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ...
[详细]
蜡笔小新 2023-12-14 16:19:10
-
本文介绍了计算机存储系统的层次结构,包括高速缓存、主存储器和辅助存储器三个层次。通过分层存储数据可以提高程序的执行效率。计算机存储系统的层次结构将各种不同存储容量、存取速度和价格的存储器有机组合成整体,形成可寻址存储空间比主存储器空间大得多的存储整体。由于辅助存储器容量大、价格低,使得整体存储系统的平均价格降低。同时,高速缓存的存取速度可以和CPU的工作速度相匹配,进一步提高程序执行效率。 ...
[详细]
蜡笔小新 2023-12-13 17:32:41
-
本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念,以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器,包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实,适合初学者了解Tomcat的基础知识。 ...
[详细]
蜡笔小新 2023-12-13 17:08:24
-
与.Net大师JeffreyRichter面对面交流——TUP对话大师系列活动回顾(多图配文字)上周末很有幸参加了CSDN举行的TUP活动, ...
[详细]
蜡笔小新 2023-10-17 08:39:50
-
I’vebeenagonizingoverwhethertopostaniPadarticle.Applecertainlydon’tneedmorepublicityandthe ...
[详细]
蜡笔小新 2023-10-16 20:17:56
-
nanakuailed
这个家伙很懒,什么也没留下!