基于Linux的路由器和防火墻配置

zgliu

基于Linux的路由器和防火墻配置

隨著Internet應(yīng)用的日益普及，免費網(wǎng)絡(luò)操作系統(tǒng)Linux受到越來越多的網(wǎng)絡(luò)愛好者的關(guān)注。通過簡單的安裝，人們就可以獲得Linux提供的多項網(wǎng)絡(luò)服務(wù)，諸如域名服務(wù)、電子郵件、匿名FTP服務(wù)等。同時，它還提供了圖形工作站所具有的Xwindows系統(tǒng)。可以說，Linux已經(jīng)具備了網(wǎng)絡(luò)服務(wù)器的所有功能。在此，筆者想結(jié)合自己的工作經(jīng)驗，談?wù)凩inux在另一方面的用途，即將Linux作為路由器連接兩個不同的網(wǎng)段，并在其上配置防火墻，以實現(xiàn)網(wǎng)絡(luò)的存取訪問控制和流量統(tǒng)計的功能。

　　要想使一臺裝有Linux的PC具有路由器的功能，首先要進行硬件配置。名為Router的PC上裝有Linux系統(tǒng)，并配有兩塊網(wǎng)卡，每塊網(wǎng)卡連接一個不同的網(wǎng)段，該機作為路由器在兩個網(wǎng)段間轉(zhuǎn)發(fā)IP數(shù)據(jù)包。為了防止兩塊網(wǎng)卡的中斷發(fā)生沖突，需要網(wǎng)卡驅(qū)動程序?qū)⒅袛喾謩e設(shè)為不同值。筆者在實踐時將其中斷號和I/O地址分別設(shè)置為:3，0x300H 和4，0x320H。

　　硬件配置完畢，還需要在軟件上做相應(yīng)的配置。在通常的安裝模式下，Linux系統(tǒng)不具備路由器的功能，因此，必須重新安裝Linux內(nèi)核。以Slackware版的Linux為例，其重新配置內(nèi)核的過程為:

　　1. #cd/usr/src/linux
　　/*進入Linux的源代碼目標(biāo)*/

　　2. #make config
　　/*進行編譯選項的配置*/

　　在該步中，系統(tǒng)會提供編譯過程中的一些選項，供用戶根據(jù)自己的實際情況進行選擇。對于無法確定的選項，用戶可選擇系統(tǒng)缺省值。在網(wǎng)絡(luò)部分編譯的詢問中，會出現(xiàn)如下的提示:

　　network firewall[y/n/N]?
　　/*內(nèi)核是否支持防火墻*/
　　……
　　TCP/IP networking[n/y/Y]?
　　/*主機是否連接TCP/IP網(wǎng)絡(luò)*/
　　IP: forwarding/gatewaying [n/y/Y]?
　　/*主機是否轉(zhuǎn)發(fā)數(shù)據(jù)庫或作為網(wǎng)關(guān)*/
　　……
　　IP:firewalling[y/n/N]?
　　/*是否在TCP/IP網(wǎng)絡(luò)內(nèi)設(shè)置防火墻*/
　　IP:firewall packet logging[y/n/N]?
　　/*是否在防火墻上登記數(shù)據(jù)包*/
　　……
　　IP:accounting[y/n/N]?
　　/*是否對數(shù)據(jù)包計帳*/
　　IPptimize as router not host[y/n/N]?
　　/*是否將主機設(shè)置為路由器*/
　　……
　　IP:multicats routig [y/n/N]?
　　/*路由器是否向外廣播路由信息*/
因為我們要將此主機配置為路由器，并在其上設(shè)置防火墻，故對這些選項統(tǒng)一選"y"。

　　3.#make dep
　　/*根據(jù)編譯選項做編譯前的準(zhǔn)備工作*/

　　4.#make zlmage
　　/*開始編譯內(nèi)核并命名編譯后的內(nèi)核文件名為zlmage*/

　　編譯后的內(nèi)核存于"/usr/src/linux/arch/i386/boot"目錄。在系統(tǒng)原內(nèi)核備份后， 用戶可將該文件拷貝到根目錄下，并改名為"vmlinuz"，運行"lilo"，使其在下次啟動時生效。

　　重構(gòu)內(nèi)核后，需對兩塊網(wǎng)卡的TCP/IP部分進行設(shè)置，使其能有效地連接兩個不同的網(wǎng)段，并能在兩個網(wǎng)段進行IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。設(shè)置步驟為:

　　1.對于NE2000兼容的網(wǎng)卡，修改"/etc/rc.d/rc.modules"文件;

　　/sbin/modprobe ne io=0x300，0x320
　　/*識別兩塊網(wǎng)卡*/

　　2.修改"/etc/rc.d/rc.inetl"文件，設(shè)置兩網(wǎng)卡的IP地址、掩碼及到兩網(wǎng)卡的路由

　　信息;

　　IPADDR="202.207.0.27"

　　NETWORK="202.207.0.0"

　　BROADCAST="202.207.0.255"

　　IPADDR1="202.207.7.2"

　　NETWORK1="202.207.7.0"

　　BROADCAST1="202.207.7.255"

　　NETMASK="255.255.255.0"

　　/sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netmask${NETMASK}

　　/sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} netmask${NETMASK}

　　/sbin/route add-net ${NETWORK} netmask${NETMASK} eth0

　　/sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1
3.修改"/etc/rc.d/rc.inet2"文件，打開關(guān)于"Routed Server"的注釋，使其可以與其它路由器交換路由信息，并轉(zhuǎn)發(fā)IP數(shù)據(jù)包。

　　## Start the Routed server

　　if[-f ${NET}/routed];then

　　echo -n"routed"

　　${NET}/routed -g -s

　　/*啟動程序*/

　　fi

　　4.在"/etc/lilo.conf"文件中增加一行，使其在啟動時識別第二塊網(wǎng)卡。

　　append="ether=0，0x320，ethl"

　　完成上面的設(shè)置后，應(yīng)重新啟動計算機，系統(tǒng)會識別到兩塊網(wǎng)卡，并按照"/etc/rc.d/ rc.intel"文件中的說明對網(wǎng)卡的IP地址、掩碼進行設(shè)置。啟動完成后，以超級用戶root的身份進入系統(tǒng)，鍵入下面的命令即可看到關(guān)于網(wǎng)卡和路由的信息。

　　#ifconfig /*顯示網(wǎng)卡的詳細信息*/

　　#route

　　/*顯示系統(tǒng)的路由表*/

　　筆者曾將學(xué)生機房局域網(wǎng)內(nèi)的PC通過Linux路由器與校園網(wǎng)相接，并進一步通過校園網(wǎng)進入Internet。此外，筆者又在Linux路由器上配置了防火墻。實踐證明，防火墻有效地控制住了學(xué)生對非法IP地址的訪問，并成功地記錄下每個IP地址的網(wǎng)絡(luò)流量，為計費和網(wǎng) 管提供了依據(jù)。Linux的防火墻配置可以通過簡單的命令逐條進行，也可編寫shell程序放 到系統(tǒng)的啟動目錄下自動執(zhí)行。其命令格式非常簡單，現(xiàn)舉例如下:

　　#ipfwadm -A

　　/*對通過路由器的所有數(shù)據(jù)包進行計帳*/

　　#ipfwadm -I -a accept -S 162.105.0.0/16

　　/*接受來自162.105.0.0網(wǎng)絡(luò)的所有數(shù)據(jù)包*/

　　#ipfwadm -I -a deny -S 159.226.0.0/16

　　/*丟掉來自159.226.0.0網(wǎng)絡(luò)的所有數(shù)據(jù)包/

　　#ipfwadm -O -a reject -S 210.32.0.0/12

　　/*丟掉發(fā)往210.32.0.0網(wǎng)絡(luò)的所有數(shù)據(jù)包，并發(fā)送拒絕信息包給請求者*/

　　讀者可根據(jù)實際需要進行防火墻的配置，以達到期望的效果。


11-02 00:08 何立強/(中聯(lián)綠盟 )




來源：ChinaByte