linu透明防火墙(网桥模式)

一、网络结构在现有网络中增加防火墙，主要作用为控制内部上网等等。要求可以灵活控制, 包括时间段不同控制，流量限制等。现有网络拓扑图：f90内胸凰务器办誉室办舍区PC由于安装防火墙时要求不需要修改内网服务器和PC机配置，所以采用透明防 火墙（网桥模式）。修改后拓扑图：互联网0Vin内阿服計器好舍宣p<亦公IZrc防火墙需要三块网卡，其中两块网卡做网桥，一块网卡配置ip做为管理用网 卡。内部网络要访问不同网段，数据包需要路由转换，这时就要通过防火墙才能 到达路由。防火墙采用linux系统，使用ip tables和ebt ables进行过滤数据包。 经过测试交换机划分vlan在路由器终结数据包，这样的数据包可以在iptables 和ebt ables中进行分析处理。网桥在网络的第二层，ip tables和ebt ables在 linux 2.6内核中可以分析到第二层的数据包。二、防火墙工具分析1) iptables 说明Ipt ables对数据包的处理流程:数据包进入系统，经过IP校验后经过PREROUTING 链中的Mangle和Nat的处理；再经过路由查找，决定该数据包需要转发还是发 给本机；如果该数据包是发给本机的，则经过INPUT链的Mangle和Filter处理 后再传递给上层协议；如果需要转发，则发给FORWARD链的Mangle和Filter 进行处理；本机网络层以上各层产生的数据包通过OUTPUT链的Mangle、Nat、 Filter处理后，再进行路由选择；所有需要发送到网络中的数据包，都必须经 过POSTROUTING链的Mangle和Nat进行处理。2) ebtalbles 说明Ebtables对数据帧的处理过程：数据帧进入数据链路层，首先经过BROURING链 的Broute处理，决定是直接路由该数据帧还是让它进入到PREROUTING链，如果 数据帧的目的地址和源地址在同一个网段，网桥会屏蔽它；如果数据帧是多播帧 或广播帧，则要在同一网段中除了接收端口以外的其他端口发送这个数据帧。接 下来，数据帧到达PREROUTING链后可以改变目的MAC地址(DNAT)；当数据帧 通过PREROUTING链后，Ebtables将会根据该数据帧的目的MAC地址决定是否转 发该帧，如果这个帧的目的MAC是本机的，就会进入到INPUT链，在这个链中， 可以过滤进入本机的数据帧，通过INPUT链后，就到达网络层，数据帧变成数据 包；如果数据帧的目的MAC不是本机的，它进入FORWARD链，FORWARD链将过滤 数据帧；然后这个数据帧就会到达POSTROUTING链，在这里可以改变数据帧的源 MAC地址（SNAT）。由本机产生的帧，首先判断是否需要Bridging，如果不需要 则进行直接路由；如果需要就会进入到OUTPUT链中，以对数据帧改变目的MAC 地址（DNAT）和过滤，接下来这个帧到达POSTROUTING链，这个链可以改变数据 帧的源MAC地址（SNAT）；最后，这个帧就到达了 NIC。3）桥接方式的处理流程当数据帧进入Linux网桥后，先通过Ebtables的BROUTING链和PREROUTING链； 接下来，经过Ip tables的PREROUTING链，这时还是在数据链路层，而不是在 Iptables通常起作用的网络层，这就是br_nf帮助数据帧在数据链路层可以经 过 Ip tables 链的作用；然后，经过 Eb tables 的 FORWARD 链和 Ip tables 的 FORWARD 链；最后，先后经过Ebtables和Iptables的POSTROUTING链。4）总结从前面的叙述，可以看到无论桥接还是路由方式，数据帧都会经过Ip tables的 FORWARD链，这样就可以利用Iptables/Ebtables设计一个网桥防火墙。Linux2.6中的Ebtables/ Iptables是一个非常强大的防火墙系统，可以同时在 数据链路层和网络层对数据帧或数据包进行过滤、地址转换、数据包传输特性的 改变。利用Eb tables/ Ipt ables可以构建一个网桥路由器，尤其重要的是它还 可以连接不同协议的网络，实现过滤等功能。因此，利用Ebtables/Iptables 可以构建一种简单宜用、功能强大、经济高效的网桥防火墙。由于iptables功能比ebtables更强大，应用也较为广泛，所以一般都使用 iptables来做防火墙。三、系统安装centos linux 5.0是使用linux 2.6内核的操作系统。1）系统安装1输入linux text选择text安装模式。2. 安装时语言环境选English。3. 键盘类型选us。4. 鼠标选择No-mouse。5安装类型选Custom。6.分区设置：/boot ext3 100M 启动分区/ ext3 10G系统分区Swap swap 1G虚拟内存/var ext3 剩余空间 日志分区7使用 GRUB Boot loader。8.不增加参数在 Boot Loader Configuration。9不为Boot Loader设置密码。10.设置 Boot Loader 启动 Linux。11将Boot Loader安装在硬盘的MBR。12网络设置，默认安装后进行配置。13主机名称视情况而定，预定为UC-WEB-数字。14防火墙的安全级别设为No firewall。15语言支持选 English （USA）和 Chinese （P.R. of China）。16. 默认语言为 English （USA）。17. 时区选 Asia/Shanghai。18. Root Password 为：redhat19. Authentication Configuration启用 Use Shadow Passwords和 Enable MD5 Passwords。20. Package Group 选择： Editors21. 不必创建 Boot Diskette。22. 配置显示选项，指定启动时进入文本模式。OS安装完毕。2）系统配置1. 禁用多于服务rm /etc/rc.d/rc3.d/* -rf chkconfig crond on chkconfig network on chkconfig rsync on chkconfig sshd on chkconfig syslog on chkconfig xinetd on chkconfig iptables on2. 定时同步时间 crontab -e 加入10 03 * * * /usr/sbin/ntpdate -u tick.ucla.edu tock.gpsclock.com ntp.nasa.gov timekeeper.isi.edu usno.pa-x.dec.com3关闭ipv6echo "alias net-pf-10 off" >> /etc/modprobe.conf.dist 4.修改默认启动内核vi /boot/grub/gurb.conf 修改默认启动内核为2.6内核，不要使用加有xen （虚拟技术）的内核。四、防火墙的实现1）配置网卡1. 网桥配置 brctl add br0 建立网桥 touch /etc/sysconfig/network-scripts/ifcfg-br0 建立网桥配置文件ifcfg-brOvi /etc/sysconfig/network-scripts/ifcfg-br0 DEVICE=br0TYPE=Bridge BOOTPROTO=staticIPADDR=0.0.0.0 ONBOOT=yes2. 添加网卡到网桥把ethl和eth2两网卡添加到网桥中。ethO 般为主板集成网卡性能不好，所以用作管理网卡初始化网卡ifconfigeth1 O.O.O.O upifconfigeth1 O.O.O.O up添加网卡到网桥brctl addif brO ethO eth1查看网桥信息brctl show修改ethl网卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=ethlTYPE=EthernetBOOTPROTO=staticIPADDR=O.O.O.OONBOOT=yesBRIDGE=brO修改eth2网卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-eth2DEVICE=eth2TYPE=EthernetBOOTPROTO=staticIPADDR=O.O.O.OONBOOT=yesBRIDGE=brO3. 配置管理网卡修改eth0网卡配置文件vi /etc/sysconfig/network-scripts/ifcfg-ethODEVICE=ethOTYPE=EthernetBOOTPROTO=staticIPADDR=lO.O.254.252NETMASK=255.255.252.OGATEWAY=lO.O.254.254ONBOOT=yesBRIDGE=brO2）防火墙配置实施防火墙策略的一般过程是先禁止所有的转发数据帧或数据包通过，然后再根 据需要设定数据帧或数据包的过滤规则。1. 禁止所有iptables -F INPUTiptables -F FORWARDiptables -F OUTPUT清除iptables中全部规则iptables -P INPUT ACCEPTiptables -P FORWARD DROP iptables -P OUTPUT ACCEPT 修改默认策略2. 允许访问规则iptables -A FORWARD -p icmp -m limit - limit 4/s -j ACCEPT 允许icmpIptables -A FORWARD -d 10.0.254.0/255.255.255.0 - j ACCEPT 允许任何地址访问254网段Iptables -A FORWARD -s 10.0.2.36 - j ACCEPT 允许10.0.2.36访问任何地址3定时修改将访问列表写在一个shel l脚本中，在cron tab -e中定时执行脚本。附Ebtables使用规则如下：ebtables -t table -ADI chain rule-specification match-extensions watcher-extensions-t table : 一般为 FORWARD 链。-ADI： A添加到现有链的末尾；D删除规则链（必须指明规则链号）；I插入新 的规则链（必须指明规则链号）。-P:规则表的默认规则的设置。可以DROP,ACCEPT,RETURN。-F:对所有的规则表的规则链清空。-L:指明规则表。可加参数，-Lc,-Ln-p:指明使用的协议类型，ipv4,arp等可选（使用时必选）详情见 /etc/ethertypes-ip-proto:IP包的类型，1为ICMP包，6为TCP包，17为UDP包，在/et c/pro to cols下有详细说明- ip-src:IP包的源地址- ip-dst:IP包的目的地址- ip-sport:IP 包的源端口