Linux下网桥式防火墙的构建与实现

最新推荐文章于 2023-03-02 11:15:52 发布
置顶 最新推荐文章于 2023-03-02 11:15:52 发布
阅读量5.3k 收藏 7
点赞数
分类专栏: Network Security 文章标签: 防火墙 linux hook struct linux内核 cam
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bripengandre/article/details/3667376
版权

1       文档说明

1.1    写作目的

本文档为该子系统设计与实现人员提供参考。

1.2    写作背景

本文简单介绍在Linux下如何构建和实现网桥式防火墙,以及如何扩展该网桥式防火墙。

构建企业网关的一个重要前提是在企业网关上实现一个防火墙。该防火墙除了对进出包进行包过滤外,还应能够选择性地将特定的包投递给特定的目的主机(保持企业的网络架构不变)。这就要求该防火墙还具备网桥功能,因此网桥式防火墙是构建企业网关的重要基础。

Linux构建和实现网桥式防火墙首先应该了解怎么构建简单的网桥式防火墙,然后了解如何扩展基本的网桥式防火墙以满足特定的需求。

本文正是基于上述理由而撰写的。

写作指导者:范兵;

写作执笔者:彭令鹏;

1.3    文档组织

本文档结构组织如下。

第一章:文档说明,简要介绍本文档;

第二章:构建简单的网桥式防火墙,介绍在Linux 下构建一个简单的网桥式防火墙的基本流程;

第三章:网桥式防火墙的内核实现,介绍Linux内核是怎么实现网桥式防火墙的,这是扩展网桥式防火墙的重要基础;

第四章:扩展网桥式防火墙,扩展简单的网桥式防火墙以满足特定的需求。

1.4    补充说明

因为水平有限,并且学习的深度不够,本文档的错误一定很多,所以仅供参考。当然,本文档的更新与校正会一直进行。

2       构建简单的网桥式防火墙

2.1    何谓网桥式防火墙

网桥是一个链路层转发设备,它根据源MAC地址将数据包从特定的端口转发给目的主机。透明式网桥是本文的研究对象,它可以不影响原网络架构地插入网络中。对终端用户来说,在插入透明式网桥前后,所有网络功能都是一样的,因此透明式网桥对终端用户透明。

现在的防火墙虽然有包过滤、透明转发和记录攻击等多种功能,但包过滤仍是其最基本且最有用的功能。通过包过滤,防火墙可以部分地将攻击阻挡在防火墙之外,从而为防火墙内部用户提供一个较安全的网络环境。

网桥式防火墙简单地来说就是网桥+防火墙,我们所研究的是透明网桥式防火墙。传统的商用防火墙一般需要更改待保护的网络的架构,而透明网桥式防火墙则不需要。更为重要的是,有时候我们需要将进出包投递到特定的主机(如将数据包投递经监控服务器,以实现对网络内容的监控),这样透明网桥式则是一种不错的选择。

2.2    NetfilterIptables

为支持网桥式防火墙,Linux2.4及以上内核提供了NetfilterIptables

NetfilterLinux内核中实现网桥式防火墙的模块,它通过在TCP/IP协议栈中插入钩子点的办法来尽量减小对TCP/IP协议栈的影响。需要网桥式防火墙功能时,应将Netfilter模块编译进内核,这个时候Netfilter在协议栈中提供钩子点,钩取数据包内容供钩子函数处理。而钩子点处的钩子函数的配置则可由Iptalbes等工具来实现。

Iptables 则利用内核中Netfilter的功能,提供了一个配置使用Netfilter的用户态接口。通过这个接口,用户可以在Netfilter各钩子点处放置钩子函数,来实现对网络数据的处理。需要注意的是Iptables也同Netfilter一样整合在内核里。

收发的数据流经钩子点时,将被钩子函数截取并处理,然后根据处理结果来决定数据的走向(是丢弃,是拒绝,还是继续往上走正常的协议栈)。

更为详细的介绍请参考3.2.2Linux防火墙的工作流程

2.3    创建简单的网桥式防火墙

考虑如 1所示的一个网络。中间的192.168.0.1为一台装有4个网卡的Linux服务器。我们需要其为另外4台机器转发数据包,并且能够选择性地拒绝某些转发请求(如拒绝ping请求)。

2.3.1   创建网桥

Linux中配置网桥的工具是bridge-utils2.6及以上的内核已自带了这个工具。具体步骤如下。

brctl addbr  br_192  /* 为网桥建立一个逻辑网段,命名为br_192 */

brctl addif  br_192  eth0 /* 绑定eth0br_192网桥的一个端口 */

brctl addif  br_192  eth1 /* 绑定eth1br_192网桥的一个端口 */

brctl addif  br_192  e th2 /* 绑定eth2br_192网桥的一个端口 */

brctl addif  br_192  eth3 /* 绑定eth3br_192网桥的一个端口 */

 

ifconfig  eth0  0.0.0 .0 /* eth0作为网桥的一个端口,已不需要IP */

ifconfig  eth1  0.0.0 .0 /* eth1作为网桥的一个端口,已不需要IP */

ifconfig  eth2  0.0.0 .0 /* eth2作为网桥的一个端口,已不需要IP */

ifconfig  eth3  0.0.0 .0 /* eth3作为网桥的一个端口,已不需要IP */

 

ifconfig  eth0  promisc up /* 网桥端口需要接收转发所有数据,因此开启混杂模式*/

ifconfig  eth1  promisc up /* 网桥端口需要接收转发所有数据,因此开启混杂模式*/

ifconfig  eth2  promisc up /* 网桥端口需要接收转发所有数据,因此开启混杂模式*/

ifconfig  eth3  promisc up /* 网桥端口需要接收转发所有数据,因此开启混杂模式*/

 

ifconfig  br_192 192.168.1.1 /* 为网桥指定一个IP,以方便远程管理等 */

以上步骤需要重点指出如下几点。

作为网桥端口的各物理网卡的工作任务是接收转发所有链路层数据包,因此已经不需要IP,并且要工作在混杂模式。

Linux网桥可以为网桥配置一个IP和外部通信,因此网桥br_192也常被称为虚拟网络设备,这个配置的IP不是附着在某个特定的物理网卡上,而是可以附在每个网桥端口网卡上(网卡eth0接收到目的IP192.168.1.1的数据包,会将该数据包传递给网桥本机处理,eth1eth2eth3也如此)。

更详细的相关内容请参考2.3.1Linux下网桥的工作原理

 

最低0.47元/天 解锁文章
彭令鹏
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux个人防火墙JAVA版实现(Netfilter+Netlink+Multi-Thre) in 2009
05-27
当时自己搜集的资料 博文链接:https://c-j.iteye.com/blog/364552
使用Linux创建网桥防火墙
程序人生
09-29 1830
使用Linux创建网桥防火墙作者:Henry Stilmack hps@shangri-la.cx>原文出处:http://www2.linuxjournal.com/articles/misc/0041.html翻译:ideal ideal@linuxaid.com.cn>      联合天文学中心在夏威夷岛的Manua Kea的14,000英尺高的山顶上拥有两个天文望远镜,还
linux防火墙
笨笨的博客
04-04 7807
一,何为防火墙 是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防火墙 二,防火墙分类 1.从构造上分类 硬件防火墙: 深信服,联想的网御,华为 软件防火墙 个人防火墙 定义:个人防火墙运行在 PC 上,用于监控 PC 和外网的通信信息 如windows自带的防火墙 网关防火墙 定义:在网络中的网关上配置防火墙的功能,能对网络中的流量进行策略控制,这就是网关防火墙 软件网关防火墙:如li.
Linux下以太网桥防火墙的配置
的的
12-03 1590
Ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,Ebtables来过滤数据链路层数据包。  2.6内核内置了Ebtables,要使用它必须先安装Ebtables的用户空间工具(ebtables-v2.0.6),安装完成后就可以使用ebtables来过滤网桥的数据包。  参照用户实际要求,设置ebtables规则如下:  1:对所有的数据包默认通过  2:分清楚源地址和
linux 网桥防火墙,linux透明防火墙(网桥).doc
weixin_29798865的博客
05-12 176
linux透明防火墙(网桥).doc还剩9页未读,继续阅读下载文档到电脑,马上远离加班熬夜!亲,喜欢就下载吧,价低环保!内容要点:又如,对于 ftp 连接可以使用下面的连接跟踪:(1)被动(Passive)ftp 连接模。#iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –-state ESTABLISHED -j AC...
udp_client.rar_linux下网管理
09-24
本示例中的"udp_client.rar"提供了一个简单的UDP客户端程序代码,名为"udp_client.c",我们可以从中学习到如何在Linux实现UDP客户端的基本功能。 首先,让我们了解UDP的基本概念。UDP是传输层协议,它不保证...
Linux下网卡配置.pdf
09-27
Linux 网卡配置 Linux 网卡命名规律中,eth0 和 eth1 分别表示第一块和第二块以太网卡,而 lo 则表示环回接口,IP 地址固定为 127.0.0.1,掩码为 8 位,表示机器本身。 ifconfig 命令用于查看网卡的信息,如果不...
Linux下网卡配置[借鉴].pdf
10-11
本文将详细讲解Linux下网卡配置的相关知识点。 首先,我们需要了解Linux中网卡的基本命名规则。传统的命名方是使用eth0、eth1等表示第一块、第二块以太网卡。此外,lo(loopback)接口是环回接口,其IP地址固定为...
Linux下网卡配置[整理].pdf
10-19
Linux 网卡配置详解 Linux 操作系统中网卡配置是网络管理中最基本也是最重要的一部分。网卡配置主要涉及到网卡命名规律、ifconfig 命令、route 命令和traceroute 命令等。 一、Linux 网卡命名规律 在 Linux 中,...
linux下多网卡绑定
08-10
Linux操作系统中,多网卡绑定(也称为网络接口聚合,Network Interface Bonding或Bonding)是一种技术,它允许将两个或多个网络接口(如eth0和eth1)组合成一个逻辑接口(如bond0),以提高网络连接的冗余性和带宽...
linux之透明网桥
04-10
linux透明网桥,iptables linux透明网桥,iptables linux透明网桥,iptables
linux防火墙开发教程,IPFW防火墙配置
weixin_42361018的博客
05-08 318
1.启用IPFW编辑开机启动文件:/etc/rc.conf//设定防火墙可用firewall_enable="YES"//启用脚本firewall_script="YES"//脚本放置位置firewall_script="/usr/local/etc/ipfw.rules"2.编写防火墙规则脚本文件项目需求,仅开启http和ssh服务端口################Common########...
构建基于ipchains的Linux防火墙
Flex天空
12-03 874
  众所周知,Linux可以作为一个优秀的防火墙软件使用。无论是结合Web或FTP网站使用,还是作为内部LAN的前端服务器,Linux都能够为构造满足用户特殊需求的防火墙提供必需的工具。    ipchains内建于Linux内核,它是一个在系统之间拒绝、接受、路由数据包的基本防火墙工具。由于有了ipchains,再加上Linux操作系统固有的低成本优势,对于LAN或者连接Internet的企业网
开发人员需要了解的linux常用命令--9.防火墙
in_the_road的博客
08-12 135
一、Centos7 1、查看防火墙状态 firewall-cmd --state 执行结果示例: running 或 not running 2、停止防火墙 systemctl stop firewalld.service 或 service firewalld stop 3、启动防火墙 systemctl start firewalld.service 或 service firewalld s...
linux开放防火墙
农码一生
01-27 137
查看已经开放的端口 firewall-cmd --list-ports 开启端口 firewall-cmd --zone=public --add-port=需要开放的端口/tcp --permanent 重启防火墙 重启 firewall-cmd --reload 停止 firewall systemctl stopfirewall.service 禁止firewall...
Linux开放防火墙
llp1990311的博客
01-17 593
一、iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off ...
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
iCloudEnd的博客
03-02 1402
介绍 Firewalls是一个重要的工具,可以配置为保护您的服务器和基础设施。防火墙的主要功能是过滤数据、重定向流量和防止网络攻击。既有基于硬件的防火墙,也有基于软件的防火墙。在这里我不会过多讨论背景,因为您可以在网上找到很多关于它的文档。 你有没有想过从头开始实现一个简单的迷你防火墙?听起来很疯狂?但借助 Linux 的强大功能,您可以做到这一点。看完本系列文章,你会发现其实很简单。 您可能曾经...
基于iptables的网桥防火墙的搭建
01-01 8619
基于iptables的网桥防火墙的搭建 目标: 在不改变网络拓补结构的前提下,实现一个防火墙,对经过该防火墙的数据进行过滤。在此,我们主要是想对所有与服务器进行通信的数据进行过滤。结构图如下: 服务器和左边的Internet可以处于同一个局域网,比如网段都为: 192.168.1.0。另外可以增加一个网卡作为管理,这个管理的口可以不必接入Internet中,这样可以达到无法对网桥进行攻
架构组织形的讨论,以及架构师之路的建议
Myl12的博客
01-04 740
架构师小组交流会:每期选一个时下最热门的技术话题进行实践经验分享。 第二期:本篇文章是对于《来自滴滴、微博、魅族、唯品会、点评关于高可用架构的实践分享》的续接。 本期参与嘉宾:滴滴技术负责人彭令鹏、魅族系统架构师何伟、唯品会应用架构负责人张广平、新浪微博技术专家聂永、大众点评交易平台技术负责人陈一方、七牛云首席架构师李道兵。 本文是对此次交流的整理,欢迎探讨。
linux下网口冗余配置
最新发布
05-20
Linux 系统中,可以使用 bonding 技术实现网口冗余配置。下面是配置步骤: 1. 安装 bonding 模块: ```shell sudo modprobe bonding ``` 2. 创建 bond 接口: ```shell sudo vim /etc/network/interfaces ```...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值