📄 00000066.htm
字号:
<HTML><HEAD> <TITLE>BBS水木清华站∶精华区</TITLE></HEAD><BODY><CENTER><H1>BBS水木清华站∶精华区</H1></CENTER>发信人: dfbb (赵无忌☆迷恋红尘), 信区: Linux <BR>标 题: 基于Linux的路由器和防火墙配置 <BR>发信站: BBS 水木清华站 (Wed Sep 2 22:42:16 1998) <BR> <BR>第七期(3月2日): 网络时代版 <BR>半年版名: 网络时代版 <BR>半年栏目: 应用交流 <BR>出版日期: 19980302 <BR>基于Linux的路由器和防火墙配置 <BR> <BR> 内蒙古大学 何立强 <BR> 随着Internet应用的日益普及,免费网络操作系统Linux受到越来 <BR>越多的网络爱好者的关注。通过简单的安装,人们就可以获得Linux提 <BR>供的多项网络服务,诸如域名服务、电子邮件、匿名FTP服务等。同时 <BR>,它还提供了图形工作站所具有的Xwindows系统。可以说,Linux已经 <BR>具备了网络服务器的所有功能。在此,笔者想结合自己的工作经验,谈 <BR>谈Linu x在另一方面的用途,即将Linux作为路由器连接两个不同的网 <BR>段,并在其上配置防火墙,以实现网络的存取访问控制和流量统计的功 <BR>能。 <BR> 要想使一台装有Linux的PC具有路由器的功能,首先要进行硬件配 <BR>置。如下图所示,名为Router的PC上装有Linux系统,并配有两块网卡, <BR>每块网卡连接一个不同的网段,该机作为路由器在两个网段间转发IP <BR>数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动程序将中 <BR>断分别设为不同值。笔者在实践时将其中断号和I/O地址分别设置为: <BR>3,0x300H 和4,0x320H。 <BR>图1 <BR> 硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模 <BR>式下,Linux系统不具备路由器的功能,因此,必须重新安装Linux内核 <BR>。以Slackware版的Linux为例,其重新配置内核的过程为: <BR> 1. #cd/usr/src/linux <BR> /*进入Linux的源代码目标*/ <BR> 2. #make config <BR> /*进行编译选项的配置*/ <BR> 在该步中,系统会提供编译过程中的一些选项,供用户根据自己的 <BR>实际情况进行选择。对于无法确定的选项,用户可选择系统缺省值。 <BR>在网络部分编译的询问中,会出现如下的提示: <BR> network firewall[y/n/N]? <BR> /*内核是否支持防火墙*/ <BR> …… <BR> TCP/IP networking[n/y/Y]? <BR> /*主机是否连接TCP/IP网络*/ <BR> IP: forwarding/gatewaying [n/y/Y]? <BR> /*主机是否转发数据库或作为网关*/ <BR> …… <BR> IP:firewalling[y/n/N]? <BR> /*是否在TCP/IP网络内设置防火墙*/ <BR> IP:firewall packet logging[y/n/N]? <BR> /*是否在防火墙上登记数据包*/ <BR> …… <BR> IP:accounting[y/n/N]? <BR> /*是否对数据包计帐*/ <BR> IP:optimize as router not host[y/n/N]? <BR> /*是否将主机设置为路由器*/ <BR> …… <BR> IP:multicats routig [y/n/N]? <BR> /*路由器是否向外广播路由信息*/ <BR> 因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这 <BR>些选项统一选"y"。 <BR> 3.#make dep <BR> /*根据编译选项做编译前的准备工作*/ <BR> 4.#make zlmage <BR> /*开始编译内核并命名编译后的内核文件名为zlmage*/ <BR> 编译后的内核存于"/usr/src/linux/arch/i386/boot"目录。在 <BR>系统原内核备份后,用户可将该文件拷贝到根目录下,并改名为"vmlin <BR>uz",运行"lilo",使其在下次启动时生效。 <BR> 重构内核后,需对两块网卡的TCP/IP部分进行设置,使其能有效地 <BR>连接两个不同的网段,并能在两个网段进行IP数据包的转发。设置步 <BR>骤为(其中的参数依图中所示): <BR> 1.对于NE2000兼容的网卡,修改"/etc/rc.d/rc.modules"文件; <BR> /sbin/modprobe ne io=0x300,0x320 <BR> /*识别两块网卡*/ <BR> 2.修改"/etc/rc.d/rc.inetl"文件,设置两网卡的IP地址、掩码 <BR>及到两网卡的路由 <BR> 信息; <BR> IPADDR="202.207.0.27" <BR> NETWORK="202.207.0.0" <BR> BROADCAST="202.207.0.255" <BR> IPADDR1="202.207.7.2" <BR> NETWORK1="202.207.7.0" <BR> BROADCAST1="202.207.7.255" <BR> NETMASK="255.255.255.0" <BR> /sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netm <BR>ask${NETMASK} <BR> /sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} ne <BR>tmask${NETMASK} <BR> /sbin/route add-net ${NETWORK} netmask${NETMASK} eth0 <BR> /sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1 <BR> 3.修改"/etc/rc.d/rc.inet2"文件,打开关于"Routed Server"的 <BR>注释,使其可 <BR> 以与其它路由器交换路由信息,并转发IP数据包。 <BR> ## Start the Routed server <BR> if[-f ${NET}/routed];then <BR> echo -n"routed" <BR> ${NET}/routed -g -s <BR> /*启动程序*/ <BR> fi <BR> 4.在"/etc/lilo.conf"文件中增加一行,使其在启动时识别第二 <BR>块网卡。 <BR> append="ether=0,0x320,ethl" <BR> 完成上面的设置后,应重新启动计算机,系统会识别到两块网卡, <BR>并按照"/etc/rc.d/ rc.intel"文件中的说明对网卡的IP地址、掩码 <BR>进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面 <BR>的命令即可看到关于网卡和路由的信息。 <BR> #ifconfig /*显示网卡的详细信息*/ <BR> #route <BR> /*显示系统的路由表*/ <BR> 笔者曾将学生机房局域网内的PC通过Linux路由器与校园网相接, <BR>并进一步通过校园网进入Internet。此外,笔者又在Linux路由器上配 <BR>置了防火墙。实践证明,防火墙有效地控制住了学生对非法IP地址的 <BR>访问,并成功地记录下每个IP地址的网络流量,为计费和网管提供了依 <BR>据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shel <BR>l程序放到系统的启动目录下自动执行。其命令格式非常简单,现举例 <BR>如下: <BR> #ipfwadm -A <BR> /*对通过路由器的所有数据包进行计帐*/ <BR> #ipfwadm -I -a accept -S 162.105.0.0/16 <BR> /*接受来自162.105.0.0网络的所有数据包*/ <BR> #ipfwadm -I -a deny -S 159.226.0.0/16 <BR> /*丢掉来自159.226.0.0网络的所有数据包/ <BR> #ipfwadm -O -a reject -S 210.32.0.0/12 <BR> /*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给 <BR>请求者*/ <BR> 读者可根据实际需要进行防火墙的配置,以达到期望的效果。 <BR> <BR>-- <BR>※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 159.226.41.99] <BR><CENTER><H1>BBS水木清华站∶精华区</H1></CENTER></BODY></HTML>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -