WEB开发网
开发学院网络安全防火墙 实现Linux网络防火墙 阅读

实现Linux网络防火墙

 2006-07-04 12:35:49 来源:WEB开发网   
核心提示: 在防火墙转发链配置IP伪装后,内部网络上的主机向Internet发送访问IP包时,实现Linux网络防火墙(4),内核将源IP地址换成网关的IP地址,并记录被伪装的IP地址后再转发该IP包,使用的策略方式也是两种:(1)首先允许所有的包都可通过,然后禁止有危险的包;(2)首先禁止所有的包,

在防火墙转发链配置IP伪装后,内部网络上的主机向Internet发送访问IP包时,内核将源IP地址换成网关的IP地址,并记录被伪装的IP地址后再转发该IP包。当这个包的Internet应答包从Internet进入网关时,内核执行去除IP伪装的操作,即将目的地址替换成内部地址。

通过适当的设置,IP伪装可以在某个网段、某台主机、某个接口、某个协议甚至是某个协议的某些端口上实现,非常灵活。IP伪装可以将内部网络的细节对外部网络屏蔽掉,因此,IP伪装提供了很好的安全性。

一般来说,安装相应版本的Linux系统时,系统会自动将Ipchains安装上。如果系统没有安装IP链软件包,可以通过光盘或从网上下载软件包来安装。

如果是rpm包,使用如下命令安装:

#rpm -ivh *.rpm

如果是.tar.gz包,则先需要将压缩包解压:

#tar xvfz *.tar.gz

然后再到解压后所在目录执行如下命令完成安装:

#./configure

#make

#make install

这样就将IP链防火墙成功安装在系统中。成功安装Ipchains后,接下来就是启动并配置包过滤规则。启用Ipchains需要完成如下操作:

◆ 手工修改/proc/sys/net/ipv4/ipforward文件,将其内容置为1。

◆ 在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件。

◆ 在/etc/rc.d目录下的rc.local文件中加上下面这段代码:

if [-f /etc/rc.ipfwadm];then /etc/rc.d/rc.ipfwadm;fi;

这使得以后所有Ipchains的配置命令都将在rc.ipfwadm文件里修改。

和IPFW一样,Ipchains也是基于配置策略进行包过滤的。使用的策略方式也是两种:

(1)首先允许所有的包都可通过,然后禁止有危险的包;

(2)首先禁止所有的包,然后再根据所需要的服务允许特定的包通过。

上一页  1 2 3 4 5 6  下一页

Tags:实现 Linux 网络

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接