一种linux防火墙的DMZ的实现方法

hefish

用linux来架设防火墙，这已经不是一个新鲜的话题。事实上使用linux的iptables就能实现近乎专业级别的防火墙，而且性能绝不亚于一些价格上万的一些所谓硬件防火墙。但是通过对网上资料的检索，似乎发现一个问题，那就是搜索结果显示，几乎所有的资料都采用iptables的端口影射方式来实现DMZ功能。即在linux的公网口绑定许多IP，然后通过映射，将公网的服务端口映射到内网。这在公网地址较少，规则比较简单的时候，不失为一个方便而又实用的解决办法。但是，如果公网口的IP地址数量比较众多，这样做就容易带来管理上的混乱。

商业化的防火墙一般有3个口，internet/LAN/DMZ，与上面提到的linux防火墙不同，商业防火墙的internet口仅绑定一个地址，DMZ区的机器依旧使用公网IP，这样方便了管理，也有利于应对一些突发事件（比如防火墙忽然坏了，临时撤掉防火墙运行一段时间等）。 其实这样的功能，linux照样可以实现，只是网上的同学们都被端口影射充斥了头脑，忘了除了端口映射，还有更好的实现方式。

要实现我上面所讲述的功能，其实只需要linux的一个功能就可以了。那就是Ethernet Bridging。熟悉局域网的同学肯定对Bridge不陌生，其实说白了就是拿linux机器当交换机用。本来交换机就是Bridge的一个实现。我们可以把linux的internet口和DMZ口配制成Bridge，这样linux不光是台linux，还成了一台交换机。这样DMZ里面的机器，就可以直接使用公网Ip了。

剩下的问题就是如何对DMZ区的服务器进行规则设置。这里就需要用到一个工具，这个工具和iptables很类似，名字叫ebtables (Ethernet Bridging Tables) 。在debian下可以用apt-get来轻松的安装ebtables。ebtables的选项和功能和iptables有很多近似之处，各位同学可以使用man，或者google来对其进行进一步的了解，研究。在这里本人就不多嘴了。

如果再给ebtables配上一个web界面，然后弄个1U的机箱把主板cpu之类的罩起来，那基本上就是一个完整的硬件防火墙了，贴上一块标牌，去各大媒体做作广告，就可以拿去卖了。

skylove

谢谢hefish先生的分享。

事实上，由于网络结构的缘故，安全厂家生产的防火墙为了适应用户的需求，一般是直接配制为桥方式的居多一些，因为可以直接插上去就能透明地用，不用修改服务器ip等等。。。