下载首页 网络学院 最新更新 软件分类 国产软件 国外软件 汉化补丁 注册绿色 下载排行 精品软件 RSS订阅当前栏目
设为首页  
联系我们  
加入收藏  
网页制作 冲浪宝典 图形图像 操作系统 软件教学 编程开发 认证考试 安全技术 站长专区 文学驿站 娱乐天地 游戏天地 办公软件
文章搜索
您的位置: 首页 >> 文章首页 >> 安全技术 >> 防火墙 >> 用ipchains构建防火墙
精品推荐
防火墙点击TOP10
·Zone Alarm 防火墙软件全接触
·使用ISA Server 2004配置背靠背的防火墙环境
·12款防火墙比较评测报告
·硬件防火墙的配置过程讲解(一)
·国内防火墙系统大比拼
·ISA SERVER2000 学习笔记
·通过ISA2004使用其他端口发布FTP站点
·ISA防火墙安装设置全集(二)
·Cisco IOS防火墙的安全规则和配置方案
·清华紫光防火墙应用分析
安全技术点击TOP10
·主板芯片级维修技术资料
·Symantec AntiVirus防病毒服务器安装配置使用指南
·教你如何手动查杀“幽灵(I-Worm.Ghost)”病毒
·贴片元件标记对应型号资料
·主板芯片组详解
·在WindowsXP/2003下查看端口对应的进程
·主板点不亮(不显示)的BIOS修复两法
·计算机启动过程详解
·网吧如何禁止使用PP点点通
·主板开机原理
精选专题

用ipchains构建防火墙
作者: 来源:网络文章 时间:2005-12-19 16:28:27

  在一些大学里面,都开始了学生宿舍网的架设,在宿舍机器不多的时候,IP似乎是一种很丰富的资源,随便都可以申请到一个,但是随着机器的迅速增长,IP开始出现短缺现象,这就需要架设一个防火墙做IP伪装(IP Masquerade),这样只需要一个真正的IP地址能够正常地访问Internet,局域网内其它机器不需要真正的IP地址,虽然不能象网关机器那样直接地访问Internet,但是可以由网关机器代劳其它机器的Internet访问请求,假装是它自己的。把这台网关机器作为局域网的网关,当它收到来自局域网内其它机器的请求数据包时,进行伪装,然后再转发出去;相应地,当伪装后发出去的数据包得到响应返回时,先对该响应数据包进行还原,再转交给回局域网内真正发出请求的那台机器。

  开始之前,先要确定Linux内核支持IP伪装这种功能,在编译内核时,必须选中下列选项: 


Network firewalls 
IP: firewalling 
IP: masquerading 
IP: ipportfw masq support 
IP: ipautofw masquerade support 
IP: ip fwmark masq-forwarding support 
IP: ICMP masquerading

  然后要命令内核启动IP转发功能: 

echo 1 > /proc/sys/net/ipv4/ip_forward

  往/proc/sys/net/ipv4/ip_forward里写入"1"就行了。有些功能如ftp, irc等的伪装,需要相应的模块支持,执行以下命令装入它们: 


  depmod -a 
  modprobe ip_masq_ftp 
  modprobe ip_masq_irc 
  modprobe ip_masq_raudio

  现在开始ipchains的设置,假设网关机器的IP是210.34.9.58,内部网络机器的IP是192.98.12.0。

  对ipchains过滤器进行设置,就是设置各种链及规则。用以下命令:

 ipchains -L

  得到类似下面的信息:


  Chain input (policy ACCEPT): 
  Chain forward (policy ACCEPT): 
  Chain output (policy ACCEPT):

  这说明三条链input,output,forward的策略都是接受,同时也没有什么特别的对于特定的链指定的规则。

  如果先前有对这三条链定义过什么规则,可以用ipchains –F刷新三条链到最原始状态。第一步就需要把用命令:

  ipchains -P forward DENY

  把forward链的缺省策略设置成DENY,这样可以防止对一些非法用户的转发。然后执行类似下面的命令:

  ipchains -A forward -s 192.98.12.0/24 -j MASQ

  来增加1条规则,这条规则对来自192.98.12.0局域网内的数据包进行伪装处理(-j MASQ),24的就是3个8,也就是说明网络掩码为255.255.255.0。

  现在执行一下ipchains –L看当前链的策略和规则,可以看见如下信息:


  Chain input (policy ACCEPT):
  Chain forward (policy DENY):
target prot opt sourcedestination   ports
MASQ   all  ------  192.98.12.0/24anywhere  n/a
  Chain output (policy ACCEPT):

  最后,要在网关机器上面的路由表信息里面加入到Internet和到内部网络的路由信息:(假设eth0连接Internet,eth1连接内部网络,210.34.9.251是210.34.9.0/24网段的网关)


  route add default gw 210.34.9.251 eth0
  route add –net 192.98.12.0 netmask 255.255.255.0 eth1

  经过这样的配置后,只要内部网络的机器的网关都指定为这台网关机器210.34.9.58,就能象一台具有真正IP的机器一样访问Internet了。

  可以做一个脚本文件rc.ipchains,内容如下:


  depmod -a 
  modprobe ip_masq_ftp 
  modprobe ip_masq_irc 
  modprobe ip_masq_raudio
  ipchains –F
  ipchains -P input ACCEPT
  ipchains -P output ACCEPT
  ipchains -P forward DENY
  ipchains -A forward -s 192.98.12.0/24 -j MASQ

  然后chmod +x rc.ipchains并在启动脚本rc.local最后加入一行:

  /etc/rc.d/rc.ipchains就能实现开机就启动放火墙了。

  Ipchains的系统资源占用极低,我们甚至有一次系统运行了一个错误的程序占用了大量的系统资源,发现IP转发还十分正常,个人觉得用一台486的机器都能当网关,而同等硬件条件下的windows机器是别想动了。

  还有一个问题就是,ipchains的原理是把使用网关机器的一个断口来转发内部网络机器的一个请求,这样当所有的段口都用完后,还会不会转发?

用ipchains构建防火墙 相关文章:
用ipchains构建防火墙 相关软件:
特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
转载请注明来源:http://www.xgdown.com
帮助(?) 软件发布 版权声明 友情连接
Copyright 2005-2005 星光下载 All rights reserved. Powered By: DownPlus