最近因公司需要上一个项目,需要用到透明防火墙,这里把实施过程写下来。


    透明防火墙的优点很多,可在网络上的任意点架设,如果不设置IP在网络上几乎是***不到(因防火墙本身没有IP,但是否真的100%避免***,有没有其他特殊手段,这里还不敢断言。)


    

    架设透明就是两个步骤,首先把linux主机变为网桥,而网桥最少需要两块网卡。

    这里需要安装一个网桥管理工具

    yum install bridge-utils

    网络配置如下:

vi /etc/sysconfig/network-script/ifcfg-eth0

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none

vi /etc/sysconfig/network-script/ifcfg-eth1

DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none


以下可写成script,方便开机启动。

    echo 1 > /proc/sys/net/ipv4/ip_forward
    brctl addbr br0    //增加网桥接口br0
    brctl addif br0 eth0    //向网桥接口br0增加网卡eth0
    brctl addif br0 eth1    //向网桥接口br0增加网卡eth1
    ifconfig br0 up         //启用网桥接口br0

如果想要网络连线管理,可于网桥上设置IP,当然安全性就会降低。

ifconfig br0 192.168.1.2 netmask 255.255.255.0
ifconfig br0 up

    查看网桥接口:

    brctl show


    网桥卸载:

brctl delif eth0
brctl delif eth1
ifconfig br0 down
brctl delbr br0

    接下来就是防火墙的配置了,如只想要让某个IP段通过(更多的用法这里就不多写了,也不是特别专业)

iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT


    以上防火墙就可以正常工作了,再有就是iptables规则在重启后就会丢失(这是一个很惨痛的教训,辛苦写了十几条规则一重启全没了。)所以还要记得保存一下

iptables-save > iptables_rules
iptables-restore < iptables_rules