中小企业自建Linux防火墙

核心提示： 二、基于Linux操作系统防火墙的实现 基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙，下面，中小企业自建Linux防火墙(2)，让我们来看看怎样配置一个双宿主机的基于Linux的防火墙， 由于Linux的内核各有不同，在编

二、基于Linux操作系统防火墙的实现

基于Linux操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面，让我们来看看怎样配置一个双宿主机的基于Linux的防火墙。

由于Linux的内核各有不同，提供的包过滤的设置办法也不一样。IpFwadm是基于 Unix 中的ipfw，它只适用于Linux2.0.36以前的内核；对于Linux2.2以后的版本，使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它们配置的4个链中，有3个在Linux内核启动时进行定义，分别是：进入链（Input Chains）、外出链（Output Chains ）和转发链（Forward Chains），另外还有一个用户自定义的链（User Defined Chains）。进入链定义了流入包的过滤规则，外出链定义了流出包的过滤规则，转发链定义了转发包的过滤规则。这些链决定怎样处理进入和外出的IP包，即当一个包从网卡上进来的时候，内核用进入链的规则决定了这个包的流向; 如果允许通过，内核决定这个包下一步发往何处，如果是发往另一台机器，内核用转发链的规则决定了这个包的流向; 当一个包发送出去之前，内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的，如果这个包与第一条规则不匹配，则接着检查下一条规则，当找到一条匹配的规则后，规则指定包的目标，目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。其中，Accept指允许通过; Deny指拒绝; Reject指把收到的包丢弃，但给发送者产生一个ICMP回复；Return指停止规则处理，跳到链尾；Masq指对用户定义链和外出链起作用，使内核伪装此包; Redirect只对进入链和用户定义链起作用，使内核把此包改送到本地端口。为了让Masq和Redirect起作用，在编译内核时，我们可以分别选择Config_IP_Masquerading 和Config_IP_Transparent_Proxy。网络结构如附图所示。