19,612
社区成员
发帖
与我相关
我的任务
分享如何用linux来做路由器和防火墙
由于工作需要,要用linux来做一个软路由和防火墙,请问各位高手,我该如何做,我现在是一点头绪都没有!谢谢!
...全文
请发表友善的回复…
发表回复
foxjun 2003-04-09
- 打赏
- 举报
iptable已经取代ipchains
他们的语法差不多,只有大概6,7条不同!
他们的语法差不多,只有大概6,7条不同!
某鸟 2003-04-08
- 打赏
- 举报
看iptables吧,2.0以上内核已经内建了这些功能,不用重新编译的。
own8888 2003-03-14
- 打赏
- 举报
我有个哥们用一张软盘做了个LINUX的内河系统,机器启动好了就是路由器了
oklemon 2003-03-13
- 打赏
- 举报
Ipchains 被用来安装、维护、检查Linux内核的防火墙规则。规则可以分成四类:IP input链、IP output链、IP forward链、user defined 链。
一个防火墙规则指定包的格式和目标。当一个包进来时, 核心使用input链来决定它的命运。 如果它通过了, 那么核心将决定包下一步该发往何处(这一步叫路由)。假如它是送往另一台机器的, 核心就运用forward链。如果不匹配,进入目标值所指定的下一条链,那有可能是一条user defined链,或者是一个特定值: ACCEPT,DENY,REJECT,MASQ,REDIRECT,RETURN。
ACCEPT意味着允许包通过,DENY 扔掉包就象没有受到过一样,REJECT也把包扔掉,但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者,目的地址无法到达(请注意DENY和REJECT对于ICMP包是一样的)。
MASQ 告诉核心伪装此包,它只对forward 链和user defined链起作用,想让它起作用, 编译核心时必需让 IP Masquerading 起作用。
REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 '-j REDIRECT' 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用,编译内核时,必须让CONFIG_IP_TRANSPARENT_PROXY起作用。
最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。
任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了,包将通过当前链的下一个规则。
参数说明:
-A :--append
在所选链的链尾加入一个或多个规则。有时一个单命令行能影响多个规则. 有两种做法. 第一, 假如你设置一个能解析为多个 IP 地址(使用 DNS)的主机名, ipchains 将如同你对多个地址都设置了命令一样发生作用。假如主机名'www.foo.com'解析为三个 IP 地址, 主机名'www.bar.com'解析为两个 IP 地址, 那么命令 'ipchains -A input -j reject -s www.bar.com -d www.foo.com' 将在 input 链中追加6条规则。-D (-I, -R) 的语法与 -A 完全相同. 当在一个链中有多个相同的规则时, 只有第一个被删除。
-D,--delete
从所选链中删除一或多条规则。我们可以用两钟方法中的任何一钟删除此规则. 首先如果我们知道它是链中的唯一规则, 我们可以使用编号删除, 输入:
# ipchains -D input 1
来删除进入链的编号1规则。第二条路是 -A 命令的镜象, 但是用 -D 代替 -A. 当你不愿意去数繁多的规则时, 这是一个有用的方法. 这种情况下, 我们使用:
# ipchains -D input -s 127.0.0.1 -p icmp -j DENY
-R, --replace
在所选链中替换一条规则,如果源和目标目标名解析到多个地址,命令将失败。
-I, --insert
以给出的规则号在所选链中插入一条或多条规则。如果规则号是1,插入的规则在链的头部。
-L, --list
列出指定链的所有规则。如果没有指定链,将列出所有链的规则。-L有三个可选项. '-n'(数值)项非常有用, 它阻止 ipchains 去查找 IP 地址, 假如你的DNS没有正确设置, 或你已经过滤掉了 DNS 请求, 这将造成很大延时。 它还会导致端口用数字而不是名字被显示出来。’-v’选项显示规则的所有详细信息,如包和字节计数器,TOS 掩码, 接口, 和包标记. 用其它的方法这些项都会被忽略。
-F, --flush
使用'-F'命令可以清除一个链中的所有规则。
# ipchains -F forward
假如你不指定链, 那么所有链都将被清空。
-Z, --zero
重置计数器。但有时你想在重置计数器前知道它们的值。你可以同时使用 '-L' 和 '-Z' 命令, 读计数器的同时重置它们。不幸的是, 假如你这样做, 你不能只操作一个链, 你不得不列表和清零所有的链。
-N, --new-chain
以给定的名字创建一条新的user defined链。不能与已有链同名。
-X, --delete-chain
删除链必须满足两个条件: 它们是空的,并且不是任何规则的目标. 但你不能删除3个内置链中的任何一个。
-P, --policy
改变内置链政策。
-M, --masquerading
允许观察当前IP伪装的连接(与-L一起)。或者设置内核IP 伪装的参数(与 –S 一起)。
-S, --set tcp tcpfin udp
设置伪装的超时值,'-S' 后跟三个以秒表示的超时值: TCP sessions, FIN 包到后的 TCP sessions, 和对于 UDP 包的。假如你不想改变这些值, 给个 '0' 值即可。
默认值在 '/usr/include/net/ip_masp.h' 文件中, 目前分别是 15分, 2分和 5分。仅允许和 -M 一起使用。
-C, -- check
有时你想知道一个确定的包进入机器后会发生什么事情, 比如调试防火链时。ipchains 的 '-C' 命令提供与核心检查真实包完全相同的程序来让你做这件事。
你可以指定让哪个链来检测包, 把链的名字放在 '-C' 参数后即可。鉴于核心总是从 input, output 或 forward 链开始, 特许你从需要测试的链开始。
包的细节用与设置防火墙规则相同的语法设定。 在个别时, 包的协议('-p'), 源地址('-s'), 目的地址('-d'), 和接口('-i') 必须有。假如协议是 TCP 或 UDP, 那么必须指定一个源地址和一个目的端口, 对于 ICMP 协议必须指定类型和代码。(除非使用了 '-f' 标志指定了一个片段规则, 在那种情况下这些选项是不合法的).
假如协议是 TCP (并且没有 '-f' 标志), 可以使用 '-y' 标志设置包的 SYN 位。
这有一个例子, 测试一个 TCP SYN 包, 它从 192.168.1.1 端口 60000 到 192.168.1.2 www 端口, 进入 eth0 接口, 进入 'input' 链. (这是一个与 WWW 建立连接的典型例子)
# ipchains -C input -p tcp -y -i eth0 -s 192.168.1.1 60000 -d 192.168.1.2 www
packet accepted
#
-h, --help
帮助。
-p, --protocol[!] protocol
用 '-p' 来指定协议。协议可以用编号(假如你知道 IP 的数字化协议值)或名字'TCP', 'UDP', 'ICMP',’ALL’(0等价与ALL),大小写无关, 'tcp' 与 'TCP' 一样。协议名前面可以加前缀 '!',来否定它,比如: ' -p ! TCP'。
-s, --source [!] address[/mask] [!][port[:port]]
有四种方法指定源头(-s)和目的(-d) IP 地址。最常用的方法是使用全称,比如 'localhost' 或 'www.linuxhq.com'。第二种方法是指定 IP 地址,如 '127.0.0.1'。第三种和第四种方法是指定 IP 地址集, 比如 '199.95.207.0/24' '199.95.207.0/255.255.255.0'。这两种方式都指定了从 192.95.207.0 到 192.95.207.255 的所有 IP 地址;'/'后的数字表示 IP 地址的哪部分(或'位')被指定。默认是 '/32' 或 '255.255.255.255' (与所有 IP 地址匹配)。完全指定所有 IP 地址用'/0'。对于特殊的 TCP 和 UDP 协议, 还有额外的参数可以指定,即它们的端口号或端口的范围。范围用 ':' 表示,比如 '6000:6010',它包含从6000到6010的11个端口,如果没有下限,默认是0。如果没有上限,默认是 65535。 所以指定1024以下端口来的 TCP 连接,表示为 '-p TCP -s 0.0.0.0/0 :1023'。 端口号也可以用名字指定,如 'WWW'。端口指定也可以用'!'参数来否定它。ICMP 也可以有参数,但是它没有端口(ICMP 有类型和代码),它们有不同的含义。可以在'-s'参数后放它们的 ICMP 名字来指定(使用 ipchains -h icmp 来列出这些名字)。或使用 ICMP 类型和代码的数字编号。类型跟在 '-s' 后。代码跟在 '-d' 后。ICMP 名相当长: 你只需输入足够长的字母能区分它们即可。
注意:目前, ICMP 名的前面不能用'!'。等价于--src。
--source-port [!] [port[:port]]
用来分开源端口范围,等价与—sport。
-d,--destination [!] address[/mask] [!] [port[:port]]
指定目标,用法与-s相同。等价于—dst。
--destination-port [!] [port[:port]]
指定目标端口范围,等价于—dport。
--icmp-type [!] typename
允许指定icmp类型(使用 –h icmp 看有效的icmp类型名)。可以方便的在指定目标的后面使用。
-j, --jump target
指向规则的目标,例如,包匹配规则后怎么办。目标可以是一个user defined 链(非本规则所在链),也可以是一个可以立即决定包命运的特定的目标。最简单的情况是不指定目标。这种类型的规则(通常叫记数规则)常用来做某种类型包的简单记数。无论规则匹配与否, 核心将继续检查此链中的下一个的规则。但规则计数器将增加。
-i, --interface [!] name
用 '-i' 参数指定接口名字。接口是包进进出出的物理设备。用于包进入(包通过进入链 )的接口被认为是进入接口, 同样地, 用于包外出(包通过外出链)的接口被认为是外出接口. 用于包中转的接口也被认为是外出接口。
指定一个目前不存在的接口是完全合法的。规则直到此接口工作时才起作用,这种指定是非常有用,对于 PPP 及其类似的连接。作为一个特例, 一个结尾是'+'的接口将适合所有此类接口(无论它们是否工作)。例如:设定一个规则适合所有的 PPP 连接, 可以用 -i ppp+ 来指定接口。此参数忽略时,默认符合所有接口。接口可以使用否定符'!'来匹配不是指定接口来的包。
[!] -f, --fragment
此规则指定fragmented packets的第二个和以后的分块。因为这样的分块没有源和目标端口信息(或 ICMP 类型),所以它不匹配一些指定它的规则。
可以在它前面使用'!',来指定一个不适用于第二个及其后续的片段包的规则。
-b, --bidirectional
双向模式。这个标志使 ipchains 象你输入命令两次一样工作,第二次是把 '-s' 和 '-d' 参数颠倒。
-v, --verbose
详细输出。它显示出对于你的命令, ipchains 是如何响应的. 假如你使用的命令可以影响多个规则, 它是很有用的。
-n, --numeric
数字化输出。IP地址和端口号将以数字格式显示。缺省显示主机名和网络名,和服务名。当DNS不起作用时,此参数及其有用。
-l, --log
对匹配包实行内核纪录,当设置此参数时,Linux内核将通过printk()对于所有匹配包打印一些信息。
-o,
一个防火墙规则指定包的格式和目标。当一个包进来时, 核心使用input链来决定它的命运。 如果它通过了, 那么核心将决定包下一步该发往何处(这一步叫路由)。假如它是送往另一台机器的, 核心就运用forward链。如果不匹配,进入目标值所指定的下一条链,那有可能是一条user defined链,或者是一个特定值: ACCEPT,DENY,REJECT,MASQ,REDIRECT,RETURN。
ACCEPT意味着允许包通过,DENY 扔掉包就象没有受到过一样,REJECT也把包扔掉,但(假如它不是 ICMP 包)产生一个 ICMP 回复来告诉发包者,目的地址无法到达(请注意DENY和REJECT对于ICMP包是一样的)。
MASQ 告诉核心伪装此包,它只对forward 链和user defined链起作用,想让它起作用, 编译核心时必需让 IP Masquerading 起作用。
REDIRECT只对input链和user defined链起作用。它告诉核心把无论应送到何处的包改送到一个本地端口. 只有 TCP 和 UDP 协议可以使用此指定. 任意用 '-j REDIRECT' 指定一个端口(名字或编号)可以使送往此的包被重定向到某个特殊的端口, 即使它被标记为送到其它端口。想让它起作用,编译内核时,必须让CONFIG_IP_TRANSPARENT_PROXY起作用。
最后的一个目标指定是 RETURN, 它跳过它下面的所有规则, 直到链的末尾。
任何其它的目标指定表示一个用户自定义的链。包将在那个链中通过. 假如那个链没有决定此包的命运, 那么在那个链中的传输就完成了,包将通过当前链的下一个规则。
参数说明:
-A :--append
在所选链的链尾加入一个或多个规则。有时一个单命令行能影响多个规则. 有两种做法. 第一, 假如你设置一个能解析为多个 IP 地址(使用 DNS)的主机名, ipchains 将如同你对多个地址都设置了命令一样发生作用。假如主机名'www.foo.com'解析为三个 IP 地址, 主机名'www.bar.com'解析为两个 IP 地址, 那么命令 'ipchains -A input -j reject -s www.bar.com -d www.foo.com' 将在 input 链中追加6条规则。-D (-I, -R) 的语法与 -A 完全相同. 当在一个链中有多个相同的规则时, 只有第一个被删除。
-D,--delete
从所选链中删除一或多条规则。我们可以用两钟方法中的任何一钟删除此规则. 首先如果我们知道它是链中的唯一规则, 我们可以使用编号删除, 输入:
# ipchains -D input 1
来删除进入链的编号1规则。第二条路是 -A 命令的镜象, 但是用 -D 代替 -A. 当你不愿意去数繁多的规则时, 这是一个有用的方法. 这种情况下, 我们使用:
# ipchains -D input -s 127.0.0.1 -p icmp -j DENY
-R, --replace
在所选链中替换一条规则,如果源和目标目标名解析到多个地址,命令将失败。
-I, --insert
以给出的规则号在所选链中插入一条或多条规则。如果规则号是1,插入的规则在链的头部。
-L, --list
列出指定链的所有规则。如果没有指定链,将列出所有链的规则。-L有三个可选项. '-n'(数值)项非常有用, 它阻止 ipchains 去查找 IP 地址, 假如你的DNS没有正确设置, 或你已经过滤掉了 DNS 请求, 这将造成很大延时。 它还会导致端口用数字而不是名字被显示出来。’-v’选项显示规则的所有详细信息,如包和字节计数器,TOS 掩码, 接口, 和包标记. 用其它的方法这些项都会被忽略。
-F, --flush
使用'-F'命令可以清除一个链中的所有规则。
# ipchains -F forward
假如你不指定链, 那么所有链都将被清空。
-Z, --zero
重置计数器。但有时你想在重置计数器前知道它们的值。你可以同时使用 '-L' 和 '-Z' 命令, 读计数器的同时重置它们。不幸的是, 假如你这样做, 你不能只操作一个链, 你不得不列表和清零所有的链。
-N, --new-chain
以给定的名字创建一条新的user defined链。不能与已有链同名。
-X, --delete-chain
删除链必须满足两个条件: 它们是空的,并且不是任何规则的目标. 但你不能删除3个内置链中的任何一个。
-P, --policy
改变内置链政策。
-M, --masquerading
允许观察当前IP伪装的连接(与-L一起)。或者设置内核IP 伪装的参数(与 –S 一起)。
-S, --set tcp tcpfin udp
设置伪装的超时值,'-S' 后跟三个以秒表示的超时值: TCP sessions, FIN 包到后的 TCP sessions, 和对于 UDP 包的。假如你不想改变这些值, 给个 '0' 值即可。
默认值在 '/usr/include/net/ip_masp.h' 文件中, 目前分别是 15分, 2分和 5分。仅允许和 -M 一起使用。
-C, -- check
有时你想知道一个确定的包进入机器后会发生什么事情, 比如调试防火链时。ipchains 的 '-C' 命令提供与核心检查真实包完全相同的程序来让你做这件事。
你可以指定让哪个链来检测包, 把链的名字放在 '-C' 参数后即可。鉴于核心总是从 input, output 或 forward 链开始, 特许你从需要测试的链开始。
包的细节用与设置防火墙规则相同的语法设定。 在个别时, 包的协议('-p'), 源地址('-s'), 目的地址('-d'), 和接口('-i') 必须有。假如协议是 TCP 或 UDP, 那么必须指定一个源地址和一个目的端口, 对于 ICMP 协议必须指定类型和代码。(除非使用了 '-f' 标志指定了一个片段规则, 在那种情况下这些选项是不合法的).
假如协议是 TCP (并且没有 '-f' 标志), 可以使用 '-y' 标志设置包的 SYN 位。
这有一个例子, 测试一个 TCP SYN 包, 它从 192.168.1.1 端口 60000 到 192.168.1.2 www 端口, 进入 eth0 接口, 进入 'input' 链. (这是一个与 WWW 建立连接的典型例子)
# ipchains -C input -p tcp -y -i eth0 -s 192.168.1.1 60000 -d 192.168.1.2 www
packet accepted
#
-h, --help
帮助。
-p, --protocol[!] protocol
用 '-p' 来指定协议。协议可以用编号(假如你知道 IP 的数字化协议值)或名字'TCP', 'UDP', 'ICMP',’ALL’(0等价与ALL),大小写无关, 'tcp' 与 'TCP' 一样。协议名前面可以加前缀 '!',来否定它,比如: ' -p ! TCP'。
-s, --source [!] address[/mask] [!][port[:port]]
有四种方法指定源头(-s)和目的(-d) IP 地址。最常用的方法是使用全称,比如 'localhost' 或 'www.linuxhq.com'。第二种方法是指定 IP 地址,如 '127.0.0.1'。第三种和第四种方法是指定 IP 地址集, 比如 '199.95.207.0/24' '199.95.207.0/255.255.255.0'。这两种方式都指定了从 192.95.207.0 到 192.95.207.255 的所有 IP 地址;'/'后的数字表示 IP 地址的哪部分(或'位')被指定。默认是 '/32' 或 '255.255.255.255' (与所有 IP 地址匹配)。完全指定所有 IP 地址用'/0'。对于特殊的 TCP 和 UDP 协议, 还有额外的参数可以指定,即它们的端口号或端口的范围。范围用 ':' 表示,比如 '6000:6010',它包含从6000到6010的11个端口,如果没有下限,默认是0。如果没有上限,默认是 65535。 所以指定1024以下端口来的 TCP 连接,表示为 '-p TCP -s 0.0.0.0/0 :1023'。 端口号也可以用名字指定,如 'WWW'。端口指定也可以用'!'参数来否定它。ICMP 也可以有参数,但是它没有端口(ICMP 有类型和代码),它们有不同的含义。可以在'-s'参数后放它们的 ICMP 名字来指定(使用 ipchains -h icmp 来列出这些名字)。或使用 ICMP 类型和代码的数字编号。类型跟在 '-s' 后。代码跟在 '-d' 后。ICMP 名相当长: 你只需输入足够长的字母能区分它们即可。
注意:目前, ICMP 名的前面不能用'!'。等价于--src。
--source-port [!] [port[:port]]
用来分开源端口范围,等价与—sport。
-d,--destination [!] address[/mask] [!] [port[:port]]
指定目标,用法与-s相同。等价于—dst。
--destination-port [!] [port[:port]]
指定目标端口范围,等价于—dport。
--icmp-type [!] typename
允许指定icmp类型(使用 –h icmp 看有效的icmp类型名)。可以方便的在指定目标的后面使用。
-j, --jump target
指向规则的目标,例如,包匹配规则后怎么办。目标可以是一个user defined 链(非本规则所在链),也可以是一个可以立即决定包命运的特定的目标。最简单的情况是不指定目标。这种类型的规则(通常叫记数规则)常用来做某种类型包的简单记数。无论规则匹配与否, 核心将继续检查此链中的下一个的规则。但规则计数器将增加。
-i, --interface [!] name
用 '-i' 参数指定接口名字。接口是包进进出出的物理设备。用于包进入(包通过进入链 )的接口被认为是进入接口, 同样地, 用于包外出(包通过外出链)的接口被认为是外出接口. 用于包中转的接口也被认为是外出接口。
指定一个目前不存在的接口是完全合法的。规则直到此接口工作时才起作用,这种指定是非常有用,对于 PPP 及其类似的连接。作为一个特例, 一个结尾是'+'的接口将适合所有此类接口(无论它们是否工作)。例如:设定一个规则适合所有的 PPP 连接, 可以用 -i ppp+ 来指定接口。此参数忽略时,默认符合所有接口。接口可以使用否定符'!'来匹配不是指定接口来的包。
[!] -f, --fragment
此规则指定fragmented packets的第二个和以后的分块。因为这样的分块没有源和目标端口信息(或 ICMP 类型),所以它不匹配一些指定它的规则。
可以在它前面使用'!',来指定一个不适用于第二个及其后续的片段包的规则。
-b, --bidirectional
双向模式。这个标志使 ipchains 象你输入命令两次一样工作,第二次是把 '-s' 和 '-d' 参数颠倒。
-v, --verbose
详细输出。它显示出对于你的命令, ipchains 是如何响应的. 假如你使用的命令可以影响多个规则, 它是很有用的。
-n, --numeric
数字化输出。IP地址和端口号将以数字格式显示。缺省显示主机名和网络名,和服务名。当DNS不起作用时,此参数及其有用。
-l, --log
对匹配包实行内核纪录,当设置此参数时,Linux内核将通过printk()对于所有匹配包打印一些信息。
-o,
lyrebird 2003-03-13
- 打赏
- 举报
最后再友情给你几点提示:
1.ipchains 和iptables不能同时开启,否则系统默认ipchains,要通过setup命令来设置。
2.iptables的input,output规则链只针对本机(防火墙主机),而forward链只针对所有非本机的数据包,而不象ipchains那样不管什么包都要经过三条链
3.……忘了,呵呵,其实是要注意的还很多,老兄你自己先慢慢看吧
1.ipchains 和iptables不能同时开启,否则系统默认ipchains,要通过setup命令来设置。
2.iptables的input,output规则链只针对本机(防火墙主机),而forward链只针对所有非本机的数据包,而不象ipchains那样不管什么包都要经过三条链
3.……忘了,呵呵,其实是要注意的还很多,老兄你自己先慢慢看吧
lyrebird 2003-03-13
- 打赏
- 举报
http://www.fanqiang.com/a1/b1/20010502/100554.html
再给你个NAT的howto,不过一般情况下在你进行具体设置的时候可能还是会有些具体问题。如果你到时找不到答案可以给我留言。
再给你个NAT的howto,不过一般情况下在你进行具体设置的时候可能还是会有些具体问题。如果你到时找不到答案可以给我留言。
lyrebird 2003-03-13
- 打赏
- 举报
oklemon(柠檬)用的是ipchains,其实现在iptables的规则已经有所不同了,建议使用iptables.
http://www.fanqiang.com/a5/b1/20010502/105027.html
你如果认真看完这个howto,你就基本明白了
http://www.fanqiang.com/a5/b1/20010502/105027.html
你如果认真看完这个howto,你就基本明白了
oklemon 2003-03-12
- 打赏
- 举报
如何配置Linux中的IP Masq防火墙
本文向读者介绍如何使用Linux下的IP Masquerade(简称IP Masq)防火墙功能。使用IP Masq可以实现NAT功能,这是网络防火墙的主要功能之一,用于中小型企、事业单位、居民生活小区通过单个注册的IP实现共享上网服务,特别是随着宽带网的普及,大量的用户需要使用Internet,为了解决IP地址短缺问题,使用Linux下的IP Masq是一种较理想的解决方案。要实现Linux下的IP Masq需要解决两个问题,即网络双网卡的正确安装和IP Masq的正确设置。
一、Linux下双网卡的正确安装
1.设备环境
① IBM兼容PC机一台,IDE硬盘一块。
② Turbo Linux操作系统6.0。
③ 3Com ISA以太网卡3C509B-TPO两块。
2.安装过程
① 在DOS系统下,使用3C509B网卡驱动程序中所带3c5x9cfg.exe调试程序配置、测试两块3Com ISA网卡参数(主要是IRQ中断号和I/O内存地址),保证两块网卡能够正常运行。
② 在计算机系统中,安装Turbo Linux操作系统,配置第一块网卡(IO=0x300),系统自动缺省识别网卡IOBASE=0x300,使用ping命令测试网卡状态。
③ 为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息; 而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。
④ 安装第二块网卡,在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“/etc/lilo.conf”文件,增加如下内容:ether=10,0x320,0,0,eth1。
前四个参数是数字,最后一个参数是设备的名称。所有的数字变量都可以自由选择,如果用户忽略或是设置成0,那么核心会自动检测该设备的参数变量或使用默认值。第一个参数代表分配给设备的中断请求通道,默认情况下核心会自动检测设备的IRQ通道; 第二个参数变量用来指定设备的基本I/O地址,同样,如果这里是0,就意味着核心会自动检测该设备的I/O地址;剩下的两个参数变量对于不同的设备有不同的含义,对于共享内存的网卡,它们用来定义共享内存区域的起始点和结束点,对于其他网卡来说,它们使用第一个参数来设置信息的调试等级,数字1到7代表调试等级逐渐增加,而数字8表示关闭信息调试,0表示使用默认值。
⑤ 重新启动机器。
⑥ 通过Turbonetcfg增加eth1,并配置该网卡网络参数,如IP地址、网关等。
⑦ 重新启动机器,使用ping命令测试网卡状态。
⑧ 通过Ifconfig命令显示Interface接口状态。
二、 IP Masq的正确设置
1.检查Linux 系统内核是否支持IP Masq
检查Linux系统内核是否支持IP Masquerade。如果你手中的Linux版本支持如下特征:
IPFWADM/IPCHAINS、IP forwarding 、IP masquerading 、IP Firewalling
则你不需要重新编译Linux内核,如果你不太确信,可运行如下命令进行测试检查:
# ls /proc/sys/net/ipv4
如果如下文件存在,则Linux已支持IP Masquerade:“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”。
2.为内网分配私网IP地址
私网地址用于企业内部基于TCP/IP技术的联网需要,它由The Internet Assigned Numbers Authority (IANA)分配,笔者采用了以下地址: 192.168.0.0/24。
3.创建文件 /etc/rc.d/rc.firewall,编辑管理规则
# rc.firewall - Initial SIMPLE IP Masquerade test for 2.1.x and 2.2.x kernels
# FORWARD_IPV4=true
echo “1” > /proc/sys/net/ipv4/ip_forward
#CRITICAL: Enable automatic IP defragmenting since it is disabled by default
# in 2.2.x kernels. This used to be a compile-time option but the behavior was changed in 2.2.12
echo “1” > /proc/sys/net/ipv4/ip_always_defrag
# MASQ timeouts 2 hrs timeout for TCP session timeouts
# 10 sec timeout for traffic after the TCP/IP “FIN” packet is received
# 160 sec timeout for UDP traffic (Important for Masq ’ed ICQ users)
/sbin/ipchains -M -S 7200 10 160
# Enable simple IP forwarding and Masquerading
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
*注释 interface eth0为公网IP地址(Registered IP Address);
编辑/etc/rc.d/rc.firewall文件的规则后,改变其文件权限为可执行如下命令:# chmod 700 /etc/rc.d/rc.firewall。
4.将Firewall加载到启动脚本中
当Firewall规则指定完毕后,需要重新启动计算机系统。你可以手工运行,也可以在系统中修改系统启动脚本使其自动执行。
手动的方式是在系统命令提示符下,执行如下命令:#/etc/rc.d/rc.firewall。
编辑启动脚本的方法是在/etc/rc.d/init.d文件中增加如下内容:/etc/rc.d/rc.firewall。
运行IP Masq后,使用ping命令测试NAT的网络功能,检查IP Masq是否正常运行。
下面是Linux IP Masq正常运行后的系统路由表。
Linux IP Masq正常运行后的系统路由表
Destination Gateway Genmask Flags MSS Windows Irtt Interface
172.16.10 0.0.0.0 255.255.255.0 U 0 0 0 eth1
210.72.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 210.72.80.32 0.0.0.0 UG 0 0 0 eth0
本文向读者介绍如何使用Linux下的IP Masquerade(简称IP Masq)防火墙功能。使用IP Masq可以实现NAT功能,这是网络防火墙的主要功能之一,用于中小型企、事业单位、居民生活小区通过单个注册的IP实现共享上网服务,特别是随着宽带网的普及,大量的用户需要使用Internet,为了解决IP地址短缺问题,使用Linux下的IP Masq是一种较理想的解决方案。要实现Linux下的IP Masq需要解决两个问题,即网络双网卡的正确安装和IP Masq的正确设置。
一、Linux下双网卡的正确安装
1.设备环境
① IBM兼容PC机一台,IDE硬盘一块。
② Turbo Linux操作系统6.0。
③ 3Com ISA以太网卡3C509B-TPO两块。
2.安装过程
① 在DOS系统下,使用3C509B网卡驱动程序中所带3c5x9cfg.exe调试程序配置、测试两块3Com ISA网卡参数(主要是IRQ中断号和I/O内存地址),保证两块网卡能够正常运行。
② 在计算机系统中,安装Turbo Linux操作系统,配置第一块网卡(IO=0x300),系统自动缺省识别网卡IOBASE=0x300,使用ping命令测试网卡状态。
③ 为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息; 而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。
④ 安装第二块网卡,在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“/etc/lilo.conf”文件,增加如下内容:ether=10,0x320,0,0,eth1。
前四个参数是数字,最后一个参数是设备的名称。所有的数字变量都可以自由选择,如果用户忽略或是设置成0,那么核心会自动检测该设备的参数变量或使用默认值。第一个参数代表分配给设备的中断请求通道,默认情况下核心会自动检测设备的IRQ通道; 第二个参数变量用来指定设备的基本I/O地址,同样,如果这里是0,就意味着核心会自动检测该设备的I/O地址;剩下的两个参数变量对于不同的设备有不同的含义,对于共享内存的网卡,它们用来定义共享内存区域的起始点和结束点,对于其他网卡来说,它们使用第一个参数来设置信息的调试等级,数字1到7代表调试等级逐渐增加,而数字8表示关闭信息调试,0表示使用默认值。
⑤ 重新启动机器。
⑥ 通过Turbonetcfg增加eth1,并配置该网卡网络参数,如IP地址、网关等。
⑦ 重新启动机器,使用ping命令测试网卡状态。
⑧ 通过Ifconfig命令显示Interface接口状态。
二、 IP Masq的正确设置
1.检查Linux 系统内核是否支持IP Masq
检查Linux系统内核是否支持IP Masquerade。如果你手中的Linux版本支持如下特征:
IPFWADM/IPCHAINS、IP forwarding 、IP masquerading 、IP Firewalling
则你不需要重新编译Linux内核,如果你不太确信,可运行如下命令进行测试检查:
# ls /proc/sys/net/ipv4
如果如下文件存在,则Linux已支持IP Masquerade:“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”。
2.为内网分配私网IP地址
私网地址用于企业内部基于TCP/IP技术的联网需要,它由The Internet Assigned Numbers Authority (IANA)分配,笔者采用了以下地址: 192.168.0.0/24。
3.创建文件 /etc/rc.d/rc.firewall,编辑管理规则
# rc.firewall - Initial SIMPLE IP Masquerade test for 2.1.x and 2.2.x kernels
# FORWARD_IPV4=true
echo “1” > /proc/sys/net/ipv4/ip_forward
#CRITICAL: Enable automatic IP defragmenting since it is disabled by default
# in 2.2.x kernels. This used to be a compile-time option but the behavior was changed in 2.2.12
echo “1” > /proc/sys/net/ipv4/ip_always_defrag
# MASQ timeouts 2 hrs timeout for TCP session timeouts
# 10 sec timeout for traffic after the TCP/IP “FIN” packet is received
# 160 sec timeout for UDP traffic (Important for Masq ’ed ICQ users)
/sbin/ipchains -M -S 7200 10 160
# Enable simple IP forwarding and Masquerading
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
*注释 interface eth0为公网IP地址(Registered IP Address);
编辑/etc/rc.d/rc.firewall文件的规则后,改变其文件权限为可执行如下命令:# chmod 700 /etc/rc.d/rc.firewall。
4.将Firewall加载到启动脚本中
当Firewall规则指定完毕后,需要重新启动计算机系统。你可以手工运行,也可以在系统中修改系统启动脚本使其自动执行。
手动的方式是在系统命令提示符下,执行如下命令:#/etc/rc.d/rc.firewall。
编辑启动脚本的方法是在/etc/rc.d/init.d文件中增加如下内容:/etc/rc.d/rc.firewall。
运行IP Masq后,使用ping命令测试NAT的网络功能,检查IP Masq是否正常运行。
下面是Linux IP Masq正常运行后的系统路由表。
Linux IP Masq正常运行后的系统路由表
Destination Gateway Genmask Flags MSS Windows Irtt Interface
172.16.10 0.0.0.0 255.255.255.0 U 0 0 0 eth1
210.72.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 210.72.80.32 0.0.0.0 UG 0 0 0 eth0
oklemon 2003-03-12
- 打赏
- 举报
基于Linux的路由器和防火墙配置
目前。网络操作系统Linux已成计算机技术专业人员的操作系统,技术人员通过简单的安装,就可以获得Linux提供的多项网络服务,例如域名服务、电子邮件、匿名FTP服务等。同时,它还提供了图形工作站所具有的Xwindows系统。最新的Linux7.2完全已经具备了网络服务器的所有功能。在此,本公司想结合自身的工作经验,谈谈Linux在另一方面的用途,即将Linux作为路由器连接两个不同的网段,并在其上配置防火墙,以 实现网络的存取访问控制和流量统计的功能。
要想使一台装有Linux的PC具有路由器的功能,首先要进行硬件配置。假设为一台Router的PC上装有Linux系统,并配有两块网卡,每块网卡连接一个不同的网段,该机作 为路由器在两个网段间转发IP数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动 程序将中断分别设为不同值。我们公司在实践中将其中断号和I/O地址分别设置为:3,0x300H 和4,0x320H。
硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模式下,Linux系统不具 备路由器的功能,因此,必须重新安装Linux内核。以Slackware版的Linux为例,其重新配 置内核的过程为 1. #cd/usr/src/linux
/*进入Linux的源代码目标*/
2. #make config
/*进行编译选项的配置*/
在该步中,系统会提供编译过程中的一些选项,供用户根据自己的实际情况进行选择 。对于无法确定的选项,用户可选择系统缺省值。在网络部分编译的询问中,会出现如下 的提示:
network firewall[y/n/N]?
/*内核是否支持防火墙*/
……
TCP/IP networking[n/y/Y]?
/*主机是否连接TCP/IP网络*/
IP: forwarding/gatewaying [n/y/Y]?
/*主机是否转发数据库或作为网关*/
……
IP:firewalling[y/n/N]?
/*是否在TCP/IP网络内设置防火墙*/
IP:firewall packet logging[y/n/N]?
/*是否在防火墙上登记数据包*/
……
IP:accounting[y/n/N]?
/*是否对数据包计帐*/
IP:optimize as router not host[y/n/N]?
/*是否将主机设置为路由器*/
……
IP:multicats routig [y/n/N]?
/*路由器是否向外广播路由信息*/
因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这些选项统一选"y"。
3.#make dep
/*根据编译选项做编译前的准备工作*/
4.#make zlmage
/*开始编译内核并命名编译后的内核文件名为zlmage*/
编译后的内核存于"/usr/src/linux/arch/i386/boot"目录。在系统原内核备份后, 用户可将该文件拷贝到根目录下,并改名为"vmlinuz",运行"lilo",使其在下次启动时生 效。
重构内核后,需对两块网卡的TCP/IP部分进行设置,使其能有效地连接两个不同的网 段,并能在两个网段进行IP数据包的转发。设置步骤为(其中的参数依图中所示):
1.对于NE2000兼容的网卡,修改"/etc/rc.d/rc.modules"文件;
/sbin/modprobe ne io=0x300,0x320
/*识别两块网卡*/
2.修改"/etc/rc.d/rc.inetl"文件,设置两网卡的IP地址、掩码及到两网卡的路由信息;
IPADDR="202.207.0.27"
NETWORK="202.207.0.0"
BROADCAST="202.207.0.255"
IPADDR1="202.207.7.2"
NETWORK1="202.207.7.0"
BROADCAST1="202.207.7.255"
NETMASK="255.255.255.0"
/sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netmask${NETMASK}
/sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} netmask${NETMASK}
/sbin/route add-net ${NETWORK} netmask${NETMASK} eth0
/sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1
3.修改"/etc/rc.d/rc.inet2"文件,打开关于"Routed Server"的注释,使其可以与其它路由器交换路由信息,并转发IP数据包。
## Start the Routed server
if[-f ${NET}/routed];then
echo -n"routed"
${NET}/routed -g -s
/*启动程序*/
fi
4.在"/etc/lilo.conf"文件中增加一行,使其在启动时识别第二块网卡。
append="ether=0,0x320,ethl"
完成上面的设置后,应重新启动计算机,系统会识别到两块网卡,并按照"/etc/rc.d/ rc.intel"文件中的说明对网卡的IP地址、掩码进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面的命令即可看到关于网卡和路由的信息。
#ifconfig /*显示网卡的详细信息*/
#route
/*显示系统的路由表*/
我们公司曾将某公司机房局域网内的PC通过Linux路由器与本地教育网相接,并进一步通过本地教育网进入Internet。此外,笔者又在Linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了公司内部人员对非法IP地址的访问,并成功地记录下每个IP地址的网络流量,为计费和网 管提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。其命令格式非常简单,现举例如下:
#ipfwadm -A
/*对通过路由器的所有数据包进行计帐*/
#ipfwadm -I -a accept -S 162.105.0.0/16
/*接受来自162.105.0.0网络的所有数据包*/
#ipfwadm -I -a deny -S 159.226.0.0/16
/*丢掉来自159.226.0.0网络的所有数据包/
#ipfwadm -O -a reject -S 210.32.0.0/12
/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/
配置用户可根据实际需要进行防火墙的配置,以达到期望的效果。 或者在安全中介商的协助下完成安全配置。
目前。网络操作系统Linux已成计算机技术专业人员的操作系统,技术人员通过简单的安装,就可以获得Linux提供的多项网络服务,例如域名服务、电子邮件、匿名FTP服务等。同时,它还提供了图形工作站所具有的Xwindows系统。最新的Linux7.2完全已经具备了网络服务器的所有功能。在此,本公司想结合自身的工作经验,谈谈Linux在另一方面的用途,即将Linux作为路由器连接两个不同的网段,并在其上配置防火墙,以 实现网络的存取访问控制和流量统计的功能。
要想使一台装有Linux的PC具有路由器的功能,首先要进行硬件配置。假设为一台Router的PC上装有Linux系统,并配有两块网卡,每块网卡连接一个不同的网段,该机作 为路由器在两个网段间转发IP数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动 程序将中断分别设为不同值。我们公司在实践中将其中断号和I/O地址分别设置为:3,0x300H 和4,0x320H。
硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模式下,Linux系统不具 备路由器的功能,因此,必须重新安装Linux内核。以Slackware版的Linux为例,其重新配 置内核的过程为 1. #cd/usr/src/linux
/*进入Linux的源代码目标*/
2. #make config
/*进行编译选项的配置*/
在该步中,系统会提供编译过程中的一些选项,供用户根据自己的实际情况进行选择 。对于无法确定的选项,用户可选择系统缺省值。在网络部分编译的询问中,会出现如下 的提示:
network firewall[y/n/N]?
/*内核是否支持防火墙*/
……
TCP/IP networking[n/y/Y]?
/*主机是否连接TCP/IP网络*/
IP: forwarding/gatewaying [n/y/Y]?
/*主机是否转发数据库或作为网关*/
……
IP:firewalling[y/n/N]?
/*是否在TCP/IP网络内设置防火墙*/
IP:firewall packet logging[y/n/N]?
/*是否在防火墙上登记数据包*/
……
IP:accounting[y/n/N]?
/*是否对数据包计帐*/
IP:optimize as router not host[y/n/N]?
/*是否将主机设置为路由器*/
……
IP:multicats routig [y/n/N]?
/*路由器是否向外广播路由信息*/
因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这些选项统一选"y"。
3.#make dep
/*根据编译选项做编译前的准备工作*/
4.#make zlmage
/*开始编译内核并命名编译后的内核文件名为zlmage*/
编译后的内核存于"/usr/src/linux/arch/i386/boot"目录。在系统原内核备份后, 用户可将该文件拷贝到根目录下,并改名为"vmlinuz",运行"lilo",使其在下次启动时生 效。
重构内核后,需对两块网卡的TCP/IP部分进行设置,使其能有效地连接两个不同的网 段,并能在两个网段进行IP数据包的转发。设置步骤为(其中的参数依图中所示):
1.对于NE2000兼容的网卡,修改"/etc/rc.d/rc.modules"文件;
/sbin/modprobe ne io=0x300,0x320
/*识别两块网卡*/
2.修改"/etc/rc.d/rc.inetl"文件,设置两网卡的IP地址、掩码及到两网卡的路由信息;
IPADDR="202.207.0.27"
NETWORK="202.207.0.0"
BROADCAST="202.207.0.255"
IPADDR1="202.207.7.2"
NETWORK1="202.207.7.0"
BROADCAST1="202.207.7.255"
NETMASK="255.255.255.0"
/sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netmask${NETMASK}
/sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} netmask${NETMASK}
/sbin/route add-net ${NETWORK} netmask${NETMASK} eth0
/sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1
3.修改"/etc/rc.d/rc.inet2"文件,打开关于"Routed Server"的注释,使其可以与其它路由器交换路由信息,并转发IP数据包。
## Start the Routed server
if[-f ${NET}/routed];then
echo -n"routed"
${NET}/routed -g -s
/*启动程序*/
fi
4.在"/etc/lilo.conf"文件中增加一行,使其在启动时识别第二块网卡。
append="ether=0,0x320,ethl"
完成上面的设置后,应重新启动计算机,系统会识别到两块网卡,并按照"/etc/rc.d/ rc.intel"文件中的说明对网卡的IP地址、掩码进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面的命令即可看到关于网卡和路由的信息。
#ifconfig /*显示网卡的详细信息*/
#route
/*显示系统的路由表*/
我们公司曾将某公司机房局域网内的PC通过Linux路由器与本地教育网相接,并进一步通过本地教育网进入Internet。此外,笔者又在Linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了公司内部人员对非法IP地址的访问,并成功地记录下每个IP地址的网络流量,为计费和网 管提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。其命令格式非常简单,现举例如下:
#ipfwadm -A
/*对通过路由器的所有数据包进行计帐*/
#ipfwadm -I -a accept -S 162.105.0.0/16
/*接受来自162.105.0.0网络的所有数据包*/
#ipfwadm -I -a deny -S 159.226.0.0/16
/*丢掉来自159.226.0.0网络的所有数据包/
#ipfwadm -O -a reject -S 210.32.0.0/12
/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/
配置用户可根据实际需要进行防火墙的配置,以达到期望的效果。 或者在安全中介商的协助下完成安全配置。
hotmanhh 2003-03-12
- 打赏
- 举报
关注ing
小弟我也正在学习这方面的知识,请诸位大哥多多关照。
小弟我也正在学习这方面的知识,请诸位大哥多多关照。
yeyuzy 2003-02-08
- 打赏
- 举报
up
wonderfuljan 2003-02-08
- 打赏
- 举报
请问在网上是否可以找到较为详细的参考资料呢?
z阿雄 2003-02-04
- 打赏
- 举报
ipchains
Qwind 2003-02-04
- 打赏
- 举报
用iptables要好点。
pantech_36 2003-02-03
- 打赏
- 举报
防火墙ipchains ,iptables
NAT iptables
NAT iptables
vicly 2003-01-30
- 打赏
- 举报
你使用的是ipchains 还是iptables呢。
在linuxaid上面有详细的说明,去看看吧。
在linuxaid上面有详细的说明,去看看吧。
mayabin 2003-01-30
- 打赏
- 举报
软路由:配置网卡的IPV4=YES
防火墙:iptables
具体的情况可以找一本参考资料。
防火墙:iptables
具体的情况可以找一本参考资料。
