返回
linux透明防火墙(网桥模式)

linux透明防火墙(网桥模式)

ID:21744012

大小:51.50 KB

页数:10页

时间:2018-10-24

linux透明防火墙(网桥模式)_第1页
linux透明防火墙(网桥模式)_第2页
linux透明防火墙(网桥模式)_第3页
linux透明防火墙(网桥模式)_第4页
linux透明防火墙(网桥模式)_第5页
资源描述:

《linux透明防火墙(网桥模式)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、一、网络结构 在现有网络中增加防火墙,主要作用为控制内部上网等等。要求可以灵活控制,包括时间段不同控制,流量限制等。 现有网络拓扑图:  由于安装防火墙时要求不需要修改内网服务器和PC机配置,所以采用透明防火墙(网桥模式)。 修改后拓扑图: 防火墙需要三块网卡,其中两块网卡做网桥,一块网卡配置ip做为管理用网卡。内部网络要访问不同网段,数据包需要路由转换,这时就要通过防火墙才能到达路由。防火墙采用linux系统,使用iptables和ebtables进行过滤数据包。经过测试交换机划分vlan在路由器终结数据包,这

2、样的数据包可以在iptables和ebtables中进行分析处理。网桥在网络的第二层,iptables和ebtables在linux2.6内核中可以分析到第二层的数据包。二、防火墙工具分析 1)iptables说明Iptables对数据包的处理流程:数据包进入系统,经过IP校验后经过PREROUTING链中的Mangle和Nat的处理;再经过路由查找,决定该数据包需要转发还是发给本机;如果该数据包是发给本机的,则经过INPUT链的Mangle和Filter处理后再传递给上层协议;如果需要转发,则发给FORWARD

3、链的Mangle和Filter进行处理;本机网络层以上各层产生的数据包通过OUTPUT链的Mangle、Nat、Filter处理后,再进行路由选择;所有需要发送到网络中的数据包,都必须经过POSTROUTING链的Mangle和Nat进行处理。 2)ebtalbles说明Ebtables对数据帧的处理过程:数据帧进入数据链路层,首先经过BROURING链的Broute处理,决定是直接路由该数据帧还是让它进入到PREROUTING链,如果数据帧的目的地址和源地址在同一个网段,网桥会屏蔽它;如果数据帧是多播帧或广播帧

4、,则要在同一网段中除了接收端口以外的其他端口发送这个数据帧。接下来,数据帧到达PREROUTING链后可以改变目的MAC地址(DNAT);当数据帧通过PREROUTING链后,Ebtables将会根据该数据帧的目的MAC地址决定是否转发该帧,如果这个帧的目的MAC是本机的,就会进入到INPUT链,在这个链中,可以过滤进入本机的数据帧,通过INPUT链后,就到达网络层,数据帧变成数据包;如果数据帧的目的MAC不是本机的,它进入FORWARD链,FORWARD链将过滤数据帧;然后这个数据帧就会到达POSTROUTIN

5、G链,在这里可以改变数据帧的源MAC地址(SNAT)。由本机产生的帧,首先判断是否需要Bridging,如果不需要则进行直接路由;如果需要就会进入到OUTPUT链中,以对数据帧改变目的MAC地址(DNAT)和过滤,接下来这个帧到达POSTROUTING链,这个链可以改变数据帧的源MAC地址(SNAT);最后,这个帧就到达了NIC。 3)桥接方式的处理流程当数据帧进入Linux网桥后,先通过Ebtables的BROUTING链和PREROUTING链;接下来,经过Iptables的PREROUTING链,这时还是在

6、数据链路层,而不是在Iptables通常起作用的网络层,这就是br_nf帮助数据帧在数据链路层可以经过Iptables链的作用;然后,经过Ebtables的FORWARD链和Iptables的FORWARD链;最后,先后经过Ebtables和Iptables的POSTROUTING链。 4)总结从前面的叙述,可以看到无论桥接还是路由方式,数据帧都会经过Iptables的FORWARD链,这样就可以利用Iptables/Ebtables设计一个网桥防火墙。Linux2.6中的Ebtables/Iptables是一个

7、非常强大的防火墙系统,可以同时在数据链路层和网络层对数据帧或数据包进行过滤、地址转换、数据包传输特性的改变。利用Ebtables/Iptables可以构建一个网桥路由器,尤其重要的是它还可以连接不同协议的网络,实现过滤等功能。因此,利用Ebtables/Iptables可以构建一种简单宜用、功能强大、经济高效的网桥防火墙。由于iptables功能比ebtables更强大,应用也较为广泛,所以一般都使用iptables来做防火墙。三、系统安装 centoslinux5.0是使用linux2.6内核的操作系统。 1)

8、系统安装1.输入linuxtext选择text安装模式。2.安装时语言环境选English。3.键盘类型选us。4.鼠标选择No-mouse。5.安装类型选Custom。6.分区设置:  /boot ext3  100M   启动分区  /  ext3  10G    系统分区  Swap swap 1G    虚拟内存  /var  ext3  剩余空间  日志分区7.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。