- 論壇徽章:
- 0
|
防火墻軟件環(huán)境:
HPE800+FC5+SHOREWALL3.0.6+WEBMIN1.2.6
防火墻網(wǎng)絡(luò)環(huán)境:
外網(wǎng):1條動(dòng)態(tài)電信寬帶(eth1 ---- isp1)和1條廣電寬帶(eth2 ---- isp2)
內(nèi)網(wǎng):1000光纖網(wǎng)卡接入內(nèi)網(wǎng)(eth0 ---- loc)
安裝配置過(guò)程:
說(shuō)明:SHOREWALL必須是REDHAT發(fā)行的LINUX版本上才能安裝,其實(shí)如果TRUSTIX可以裝的話會(huì)更好一點(diǎn).開(kāi)始的時(shí)候我使用的是FC4,但是我把300個(gè)點(diǎn)掛上去之后就死機(jī),無(wú)奈之下用FC5(剛剛出來(lái)的),用了一段時(shí)間還可以.
正常安裝FC5把不必要的包刪掉(SENDMAIL,PRINTER,WEBSERVICE,FTP,..............),配置好三塊網(wǎng)卡的地址,掩碼和網(wǎng)關(guān),然后到WWW.SHOREWALL.NET下最新的SHOREWALL RPM 包,到WEBMIN下WEBMIN RPM 包.
安裝:rpm -ivh shorewall-3.0.6-1.noarch.rpm
rpm -ivh webmin-1.260-1.noarch.rpm
安裝完成以后提示通過(guò)https://xxx.xxx.xxx.xxx:10000/訪問(wèn)管理頁(yè)面,但是我都是用http訪問(wèn)的沒(méi)有用https.
webmin 是用PL開(kāi)發(fā)的通過(guò)WEB實(shí)現(xiàn)部分系統(tǒng)管理的功能,在1.2.6版本里它集成了對(duì)SHOREWALL的web管理模塊,我們?cè)?quot;網(wǎng)絡(luò)"里可以找到SHOREWALL模塊,打開(kāi)以后進(jìn)入"network zones"定義三個(gè)ZONE:FW,LOC,NET(兩條ISP線應(yīng)劃入一個(gè)NET),下面定義"NETWORK INTERFACES":eth1 --->net;eth2 ---->net;eth0 ---->loc,定義" roviders":ISP1 --><網(wǎng)關(guān)地址> --> mark 1,number 1, --> main tables -->dupli eth0; isp2 --><網(wǎng)關(guān)地址> --> mark 2,number 2, -->main tables -->dupli eth0<Track connections,Load-balance traffic, Allow traffic from firewall都選上>.在"routestopped"里加入內(nèi)網(wǎng)接口"eth0"(不加入的話你就不能配置防火墻了),在"Default Policies"里配置你的默認(rèn)策略"ACCEPT loc ---> fw;ACCEPT fw --> loca;DENY any ----> any",在"Firewall Rules"里配置你的訪問(wèn)策略,所有的網(wǎng)絡(luò)訪問(wèn)都是先在"Firewall Rules"里找匹配的策略,找不到的都回到"Default Policies"里,詳細(xì)的編輯策略方法就不說(shuō)了,大家可以在配置文件看到說(shuō)明很詳細(xì).
在系統(tǒng)中:
#/etc/init.d/shorewall restart
或在WEBMIN里也可以重起,但是比較慢
說(shuō)明:SHOREWALL默認(rèn)是通過(guò)ISP1選擇路由,但是由于"Load-balance traffic"功能它能自動(dòng)的在ISP1,ISP2之間均衡訪問(wèn)的負(fù)荷,ISP1 ,ISP2 可以配置成承載不同的負(fù)荷,默認(rèn)balance=1數(shù)值越大負(fù)荷越大.
如果要控制網(wǎng)絡(luò)訪問(wèn)的路由可以在/etc/shorewall/tcrules里做配置,根據(jù)isp1和isp2配置的不同的mark值(1,2)做分流.
比如:1 192.168.2.0.24 0.0.0.0/0 all - (就是192.168.2.0網(wǎng)段通過(guò)ISP1走)
還有/etc/shorewall/tcclasses,/etc/shorewall/tcdevices怎么來(lái)提高網(wǎng)絡(luò)訪問(wèn)質(zhì)量大家可以自己研究.
還有幾個(gè)方面有待大家做個(gè)交流:
1.如何在策略里加入時(shí)間控制
2.如何在PROVIDERS配置動(dòng)態(tài)線路
3.如何實(shí)現(xiàn)一個(gè)ISP內(nèi)地址池的使用
還有很多.......一時(shí)想不起來(lái),希望大家不吝賜教!! |
|
免費(fèi)注冊(cè)
發(fā)表于 2006-04-08 17:12