免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1545 | 回复: 6

[网络管理] linux下的桥式防火墙(原创) [复制链接]

论坛徽章:
0
发表于 2004-04-21 10:30 |显示全部楼层
由于本人水平有限,不足之处敬请指出。欢迎转载,请指明出处。本文档只说明具体实现过程,相关的概念,请找我老师:google。
      概要:通过网桥的方式实现对包过滤,最大的好处是完全工作在前三层,直接对mac地址操作,与ip无关。linux下要实现桥式防火墙需要两个工具:brctl 和 ebtables,其中brctl实现网络(网卡)桥接,也就是建网桥。ebtables负责对kernel建过滤策略(iptables的功能)。
      实现:
      1。重新编译kernel支持bridge和ebtables。2.6的kernel直接支持,2.4的需要下载相关的patch,可以到http://ebtables.sourceforge.net/上下载ebtables_kernel相应的版本。编译时要选择networking support——》networking options中802。1d ethernet bridging,和 Network packet filtering (replaces ipchains) --》Bridged IP/ARP packets filtering--》Bridge: Netfilter Configuration  --->;相关ebt的选项。
      2。从http://bridge.sourceforge.net/download.html 下载bride-utils,http://ebtables.sourceforge.net/下载ebtables 编译安装。现在已经可以测试kernel做好没有,执行brctl,和ebtables看有没有报错。否则要重做kernel。
      3。建网桥:首先需要两张网卡(废话),假设为eth0,eth1.不要给上任何的IP激活网卡,如果已经有ip可以用:ifconfig ethx down
然后:ifconfig ethx 0.0.0.0 up把网卡都起来。
执行:#brctl addbr testbr        */其中testbr是网桥的名字。
         #brctl stp testbr off       */网络中只有一个桥,不需要stp
         #brctl addif testbr eth0
         #brctl addif testbr eth1  */把eth0加入桥中。
         #ifconfig testbr up          */起动网桥。
恭喜你!到这里网桥已经建好,可以做简单的测试,分别在两张网卡上接台pc,ip设为同一网段的,已经可以互通(不需要启动ip转发)。现在可以对网卡和网桥加IP地址:ifconfig eth0 x.x.x.x netmask x.x.x.x
其实是可以不加的,只为管理或ip转发的需要。所以又叫透明式防火墙。
       4。建策略:可以通过ebtables加上策略。如果曾经用过iptables比较容易理解,看看man ebtables的说明和ebtables上的文档。这里我只引用文档上的sample:
ebtables -P FORWARD DROP
ebtables -A FORWARD -p IPV4 -s xxxxx -j ACCEPT
ebtables -A FORWARD -p ARP -j ACCEPT
ebtables -A FORWARD -p LENGTH -j ACCEPT
完成以后只有xxxxx 的mac地址可以通过网桥,跟ip无任何关系。
      ebtables完成的功能可以是非常的强大,我也只是只菜鸟,那位有兴趣的可以交流交流。(发站内短信)
                                      2004.04.21

论坛徽章:
0
发表于 2004-04-21 10:42 |显示全部楼层

linux下的桥式防火墙(原创)


我是个菜鸟,不太明白,如果说的太可笑请不要介意。
据描述,这似乎是在两台机器上建立连接,而使得别的机器无法与之相连。那么,这样会影响到这台机器登入INTERNET浏览网页吗?
具体这样的配置被应用到哪些地方呢?

感谢大虾慷慨给予指教

QQ:26544325

论坛徽章:
0
发表于 2004-04-21 10:47 |显示全部楼层

linux下的桥式防火墙(原创)

应该是两台(或多台)机器(或网络)通过一台机器连接。

论坛徽章:
0
发表于 2004-04-21 10:53 |显示全部楼层

linux下的桥式防火墙(原创)

辛苦,终于等来了~下去慢慢看

论坛徽章:
0
发表于 2004-04-21 13:11 |显示全部楼层

linux下的桥式防火墙(原创)

沉得真快。

论坛徽章:
0
发表于 2004-04-21 13:12 |显示全部楼层

linux下的桥式防火墙(原创)

收了,回去慢慢看

论坛徽章:
0
发表于 2004-04-21 18:35 |显示全部楼层

linux下的桥式防火墙(原创)

Good
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP