最近因公司需要上一个项目,需要用到透明防火墙,这里把实施过程写下来。
透明防火墙的优点很多,可在网络上的任意点架设,如果不设置IP在网络上几乎是攻击不到(因防火墙本身没有IP,但是否真的100%避免攻击,有没有其他特殊手段,这里还不敢断言。)
架设透明就是两个步骤,首先把linux主机变为网桥,而网桥最少需要两块网卡。
这里需要安装一个网桥管理工具
yum install bridge-utils
网络配置如下:
vi /etc/sysconfig/network-script/ifcfg-eth0 DEVICE=eth0 ONBOOT=yes BOOTPROTO=none vi /etc/sysconfig/network-script/ifcfg-eth1 DEVICE=eth1 ONBOOT=yes BOOTPROTO=none
以下可写成script,方便开机启动。
echo 1 > /proc/sys/net/ipv4/ip_forward brctl addbr br0 //增加网桥接口br0 brctl addif br0 eth0 //向网桥接口br0增加网卡eth0 brctl addif br0 eth1 //向网桥接口br0增加网卡eth1 ifconfig br0 up //启用网桥接口br0
如果想要网络连线管理,可于网桥上设置IP,当然安全性就会降低。
ifconfig br0 192.168.1.2 netmask 255.255.255.0 ifconfig br0 up
查看网桥接口:
brctl show
网桥卸载:
brctl delif eth0 brctl delif eth1 ifconfig br0 down brctl delbr br0
接下来就是防火墙的配置了,如只想要让某个IP段通过(更多的用法这里就不多写了,也不是特别专业)
iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
以上防火墙就可以正常工作了,再有就是iptables规则在重启后就会丢失(这是一个很惨痛的教训,辛苦写了十几条规则一重启全没了。)所以还要记得保存一下
iptables-save > iptables_rules iptables-restore < iptables_rules
本文出自 “jweifeng的IT历程” 博客,请务必保留此出处http://jweifeng.blog.51cto.com/1218642/1438899
原文地址:http://jweifeng.blog.51cto.com/1218642/1438899