📄 00000014.htm
字号:
<HTML><HEAD> <TITLE>BBS水木清华站∶精华区</TITLE></HEAD><BODY><CENTER><H1>BBS水木清华站∶精华区</H1></CENTER>发信人: ruster (尘埃*星辰*领悟), 信区: Linux <BR>标 题: 第八章 路由器和防火墙(上) <BR>发信站: BBS 水木清华站 (Thu Dec 21 13:47:40 2000) <BR> <BR>第8章 路由器和防火墙 <BR> <BR> 本章要点: <BR> <BR> 本章介绍如何进行网间互连,以及如何用Linux实现为廉价的路由器/防火墙。 <BR> <BR> 本章具体包括以下内容。 <BR> <BR> 基于Linux的路由器 <BR> <BR> 基于Linux的防火墙系统 <BR> <BR> PPP连接和拨号服务器的配置 <BR> <BR> 各种代理服务器 <BR> <BR> 8.1 核心IP转发和Linux路由器 <BR> <BR> 让我们首先从软件路由器开始。一般来说,Linux的软件路由器是非常容易使用的,并 <BR>且效果也不错。通常在教育系统我们会经常看到基于软件的路由机器。许多人认为软件 <BR>路由器速度比较慢,可靠性也比不上硬件路由器,不过,根据大部分使用者的经验,对 <BR>于10MB的以太网,软件路由不会带来任何瓶颈问题。而大部分单位的接入速度只有256甚 <BR>至64KB。对于100MB的系统,软件路由的速度有时跟不上网络的速度,不过考虑到正常路 <BR>由器的速度,这也不是什么严重的问题。 <BR> <BR> <BR> 8.1.1 Linux的IP转发功能 <BR> <BR> <BR> 在配置内核中我们可以看到Linux内核本身就具有路由的功能,当然这些必须在编译内 <BR>核时定义。在2.2.14的内核配置中,与之相关的配置项目有好几项,并且不少属于实验 <BR>中的代码,所以如果你确实要使用Linux作为路由器或者防火墙你应该允许使用实验中的 <BR>选项。在编译核心的时候,建议打开大部分与IP路由相关的选项,这些选项的含义可以 <BR>从帮助中看到,例如IP路由,IP防火墙等等。当然你也可以用实验的方法,由于配置选 <BR>项的名称在不断改变,我不想给出详细的说明,其实你只要自己看看那些选项的名字就 <BR>应该差不多了,不是吗?当然,大部分发行版本的内核都是支持软件路由的,不过你还 <BR>是自己编译一下比较好。 <BR> <BR> 假设你已经正确地编译了内核,那么下一步就是启动IP转发(forwarding)功能了。IP <BR>转发的概念很简单,如果你的系统上有多片网卡,那么IP转发功能会把IP包在这些网卡 <BR>接口之间传递,所以只要你开启了这个功能,Linux就可以正确地实现路由器的信息传递 <BR>功能了。 <BR> <BR> 启动IP转发的功能倒是十分简单,还记得我们在研究启动脚本的时候看到的那个直接 <BR>在/proc文件系统下面生成文件来启动内核功能的例子吗?启动IP转发也是这样作: <BR> <BR> echo '1' > /proc/sys/net/ipv4/ip_forward <BR> <BR> 这样,IP转发功能就被启动了。如果你需要自动启动IP转发,就把这一行添加到/etc <BR>/rc.d/rc.sysinit里面去。 <BR> <BR> 另外一种方法是利用缺省的/etc/rc.d/init.d/network脚本,例如对于redhat,你会 <BR>看到其中有这样的行: <BR> <BR> if [ ! -f /etc/sysconfig/network ]; then <BR> <BR> exit 0 <BR> <BR> fi <BR> <BR> <BR> . /etc/sysconfig/network <BR> <BR> ………………………… <BR> <BR> <BR> ipv4_forward_set () <BR> <BR>{ <BR> <BR> if [ -d /proc/sys/net/ipv4 ]; then <BR> <BR> if [ ! -f /proc/sys/net/ipv4/ip_forward ] ; then <BR> <BR> echo "/proc/sys/net/ipv4/ip_forward is missing --" \ <BR> <BR> "cannot control IP forwarding" >&2 <BR> <BR> else <BR> <BR> if [ "$FORWARD_IPV4" = "no" -o "$FORWARD_IPV4" = "false" ] <BR>; the <BR> <BR> value=0 <BR> <BR> message="Disabling IPv4 packet forwarding" <BR> <BR> else <BR> <BR> value=1 <BR> <BR> message="Enabling IPv4 packet forwarding" <BR> <BR> fi <BR> <BR> <BR> if [ $value != `cat /proc/sys/net/ipv4/ip_forward` ]; then <BR> <BR> action "$message" /bin/true <BR> <BR> echo "$value" > /proc/sys/net/ipv4/ip_forward <BR> <BR> fi <BR> <BR> fi <BR> <BR> fi <BR> <BR>} <BR> <BR> 显然,只要设置了FORWARD_IPV4这个变量并且让它等于true,系统启动的时候就会自 <BR>动加入启动IP转发的项目,因此可以在/etc/sysconfig/network文件中加入这样一行: <BR> <BR> FORWARD_IPV4="yes" <BR> <BR> 然后重新启动机器,就可以使用IP转发功能了。 <BR> <BR> 假设我们的情况如下图所示: <BR> <BR> <BR> <BR> <BR> 图8.1 Linux路由 <BR> <BR> 设eth0和eth1的网络地址分别是192.168.6.1和192.168.4.6,服务器接受到的IP数据 <BR>包将自动在两个网络接口之间传递。eth0接受到的数据包将被送到内核,如果目标地址 <BR>是192.168.6.1(eth0地址),那么服务器直接处理这个数据包;如果目标地址是192.168 <BR>.4.x,那么数据包将被转发到192.168.4.6。然后,eth1接口根据核心的路由表,发现凡 <BR>是192.168.4.x的数据包应该通过以太网设备直接广播出去,因此它会正确地把这个数据 <BR>包发送出去。当192.168.4.x的机器发出一个到192.168.6.x的申请的时候,步骤正好颠 <BR>倒过来。因此,只要把192.168.6.x和192.168.4.x的机器的路由路径中分别加入192.16 <BR>8.6.1和192.168.4.6,就可以实现两个子网之间的正确互访。对于windows客户机,可以 <BR>通过设置缺省网关为192.168.6.1(对192.168.6.x)和192.168.4.6(对于192.168.4.x) <BR>实现。 <BR> <BR> 容易看到,这种互连并不对两个子网的IP地址有什么实际限制。 <BR> <BR> 然而这只是实现了两个以太子网之间的互连,在实际的情况中,我们通常有不止一条 <BR>的路由路径,或者需要实现多个网络的互连。最常见的情况是,网络系统中已经有了一 <BR>个路由,某些子网已经能够通过它和外部网络互连,而我们现在需要增加IP地址或者分 <BR>割子网,这时就需要在路由之间建立路径连接。也有这样的情况,我们需要通过Linux机 <BR>器将本地局域网连接入Internet。这个时候,我们需要使用一些特殊的工具,典型的是 <BR>IPChains。 <BR> <BR> 8.1.2 Linux路由器 <BR> <BR> 从上一节的内容很容易看到,用Linux实现路由功能是一件很容易的事情。路由器有多 <BR>种,一种是我们在第一章中说的Proxy ARP类型的路由,曾经有一段时间,这种路由被用 <BR>来分割网络;不过,目前已经很少有人使用了,毕竟分割B类地址远比不上重新构作网络 <BR>拓扑可靠。另一种就是标准的路由器,我们用一个实例来说明这个问题。 <BR> <BR> 我们有两个C类网络地址,分别是202.199.248.0/24和202.199.249.0/24。其中,202 <BR>.199.248.0/24这个子网用专线接入internet,路由器是202.199.248.1。由于路由器上 <BR>只有一个以太网接口,所以限制了系统中只能有一个以太网段,除非引入其他的路由器 <BR>。现在,我们把202.199.248.0和202.199.249.0分别构成一个以太网段,然后用一个Li <BR>nux路由器来连接这两个网段。 <BR> <BR> Linux路由器上安装两片网卡,地址分别是202.199.248.6和202.199.249.2,首先用i <BR>fconfig配置两片网卡的IP地址: <BR> <BR> ifconfig eth0 202.199.248.6 netmask 255.255.255.0 <BR> <BR> ifconfig eth1 202.199.249.2 netmask 255.255.255.0 <BR> <BR> 配置网络的时候,会设置缺省的广播路由,可以用route命令显示: <BR> <BR> root@mail /root]# route <BR> <BR> Kernel IP routing table <BR> <BR> Destination Gateway Genmask Flags Metric Ref Use Iface <BR> <BR> 202.199.248.6 * 255.255.255.255 UH 0 0 0 eth0 <BR> <BR>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -