用Linux防火墙构建软路由

文首要介绍使用Linux自带的Firewall软件包来构建软路由的一种办法，此办法为内部网与外部网的互连供给了一种简略、安全的完成途径。Linux自带的Firewall构建软路由，首要是经过IP地址来操控拜访权限，较一般的署理服务软件有更便利之处。

一、防火墙

防火墙一词用在核算机网络中是指用于维护内部网不受外部网的不合法侵略的设备，它是使用网络层的IP包过滤程序以及一些规矩来维护内部网的一种战略，有硬件完成的，也有软件完成的。

运转防火墙的核算机(以下称防火墙)既衔接外部网，又衔接内部网。一般状况下，内部网的用户不能直接拜访外部网，反之亦然。假如内部网用户要拜访外部网，有必要先登录到防火墙，由防火墙进行IP地址转化后，再由防火墙发送给外部网，即当内部网机器经过防火墙时，源IP地址均被设置(或称假装，或称诈骗)成外部网合法的IP地址。经假装今后，在外部网看来，内部网的机器是一个具有合法的IP地址的机器，因此可进行通讯。外部网用户要拜访内部网用户时，也要先登录到防火墙，经过滤后，仅经过答应的服务。

由此可见，防火墙在内部网与外部网之间起到了两个效果：

(1)IP包过滤——维护效果;

(2)路由——网络互连效果。

二、防火墙的装置

1.硬件装置

运转Linux防火墙的核算机上有必要装置有两块网卡或一块网卡、一块Modem卡。本文以两块网卡为例。装置网卡，正确设置中止号及端口号，并为各网卡分配适宜的IP地址。

装备今后的防火墙模型。

2.装置网关

装置网关的办法有两种：一种是运转linuxconf，进入ROUTINGANDGATEWAYS选项，装备网关;另一种是修正rc.inet1文件。下面介绍修正rc.inet1文件的办法装置网关。

进入/etc/rc.d/目录，键入virc.inet1回车，参照下面内容修正：

IPADDR=202.114.194.130#榜首块卡的外部网IP地址

NETMASK=255.255.255.128#榜首块卡的外部网子网掩码

NETWORK=202.114.194.0#榜首块卡的外部网网段

BROADCAST=202.114.194.255#榜首块卡的外部网播送地址

GATEWAY=202.114.194.129#榜首块卡的外部网网关，也是

默许网关

IPADDR1=192.168.0.1

#第二块卡的内部网IP地址

NETMASK1=255.255.255.0

#第二块卡的内部网子网掩码

NETWORK1=192.168.0.0

#第二块卡的内部网网段

BROADCAST1=192.168.0.255

#第二块卡的内部网播送地址

/sbin/ifconfigeth0${IPADDR}

broadcast${BROADCAST}metmask${NETMASK}

#设置榜首块卡

/sbin/ifconfigeth1${IPADDR1}

broadcast${BROADCAST1}metmask$

{NETMASK1}

#设置第二块卡

/sbin/routeadd-net${NETWORK}

netmask${NETMASK}

/sbin/routeadddefaultgw$

{GATEWAY}metric1

/sbin/routeadd-net${NETWORK1}

netmask${NETMASK1}

要测验网关设置状况，能够用“ifconfig”指令测验，运转该指令后，会显现出eth0和eth1及上面咱们修正的相关内容，假如没有显现这些相关信息，阐明设置不正确，还要从头再来一次。

三、构建软路由

1.IP地址转化

IP地址转化也称为IP地址假装或IP地址诈骗，也就是指当内部网机器登录到防火墙上时，防火墙将内部网IP(不合法的外部网IP地址)假装成合法的外部网IP地址，再与外部网通讯。IP地址假装的指令格局如下：

ipfwadm-F-amasquerade-D0.0.0.0/0-Weth0

其间“-D0.0.0.0/0”表明答应对悉数内部网IP地址进行转化，“-Weth0”表明内部网IP地址是经过网卡1进行转化的。

IP地址假装设置结束后，就能够在内部网机器上ping一下外部网的机器，假如防火墙上的forwarding没有被封闭的话，就能够ping通了，阐明装备悉数正确。

2.设定拜访外部网的权限

为了加强对网络的办理，有时要对内部网拜访外部网进行必定的约束，这种约束包含：(1)答应哪些机器能够上网;(2)答应拜访哪些站点。

约束上网机器能够参照以下脚本：

ipfwadm-F-pdeny#悉数回绝内部网机器上网

ipfwadm-F-am-S192.168.0.5/32

-d0.0.0.0/0#答应192.168.0.5机器对

外部网的拜访

约束拜访站点，能够这样设置：

ipfwadm-O-ireject-D0.0.0.0/0

#对外部网的悉数站点加以

回绝

ipfwadm-O-iaccept-D202.114.0.0/16

#答应拜访202.114.0.0～

202.114.255.255内的悉数站点

上述设置中，“0.0.0.0/0”表明悉数网址，“202.114.0.0/16”表明202.114.0.0至202.114.255.255的悉数站点。

3.计算IP包流量

IP包流量记账的设置如下：

ipfwadm-A-f

/sbin/ipfwadm-A-f

/sbin/ipfwadm-Aout-I-S192.168.0.0

/32-D0.0.0.0/0

#对悉数流出包

计算

/sbin/ipfwadm-Ain-I-S192.168.0.0

/32-D0.0.0.0/0

#对悉数流入包

计算

地点记账的计算都存放于/proc/net/ip_acct文件中，其悉数IP地址均为16进制表明。

以上悉数脚本，既可放置在/etc/rc.d文件中，也可独自建立shell脚本，用指令sh履行。

以上设置均在RedHat5.1上运转经过。