用Linux防火墙构建软路由

用Linux防火墙构建软路由

蓝盾防火门,防火的图片,南通防火门　　文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法，此方法为内部网与外部网的互连提供了一种简单、安全的实现途径。Linux自带的Firewall构建软路由，主要是通过IP地址来控制访问权限，较一般的代理服务软件有更方便之处。

　　蓝盾防火门,防火的图片,南通防火门防火墙一词用在计算机网络中是指用于保护内部网不受外部网的非法入侵的设备，它是利用网络层的IP包过滤程序以及一些规则来保护内部网的一种策略，有硬件实现的，也有软件实现的。

　　运行防火墙的计算机(以下称防火墙)既连接外部网，又连接内部网。一般情况下，内部网的用户不能直接访问外部网，反之亦然。如果内部网用户要访问外部网，必须先登录到防火墙，由防火墙进行IP地址转换后，再由防火墙发送给外部网，即当内部网机器通过防火墙时，源IP地址均被设置(或称伪装，或称欺骗)成外部网合法的IP地址。经伪装以后，在外部网看来，内部网的机器是一个具有合法的IP地址的机器，因而可进行通信。外部网用户要访问内部网用户时，也要先登录到防火墙，经过滤后，仅通过允许的服务。

　　运行Linux防火墙的计算机上必须安装有两块网卡或一块网卡、一块Modem卡。本文以两块网卡为例。安装网卡，正确设置中断号及端口号，并为各网卡分配合适的IP地址。

　　安装网关的方法有两种：一种是运行linuxconf，进入ROUTINGANDGATEWAYS选项，配置网关;另一种是修改t1文件。下面介绍修改rc.inet1文件的方法安装网关。

　　要测试网关设置情况，可以用“ifconfig”命令测试，运行该命令后，会显示出eth0和eth1及上面我们修改的相关内容，如果没有显示这些相关信息，说明设置不正确，还要重新再来一次。

　　IP地址转换也称为IP地址伪装或IP地址欺骗，也就是指当内部网机器登录到防火墙上时，防火墙将内部网IP(不合法的外部网IP地址)伪装成合法的外部网IP地址，再与外部网通信。IP地址伪装的命令格式如下：

　　其中“-D0.0.0.0/0”表示允许对所有内部网IP地址进行转换，“-Weth0”表示内部网IP地址是通过网卡1进行转换的。

　　IP地址伪装设置完毕后，就可以在内部网机器上ping一下外部网的机器，如果防火墙上的forwarding没有被关闭的话，就可以ping通了，说明配置一切正确。

　　为了加强对网络的管理，有时要对内部网访问外部网进行一定的限制，这种限制包括：(1)允许哪些机器可以上网;(2)允许访问哪些站点。

　　所在记账的统计都存放于/proc/net/ip_acct文件中，其所有IP地址均为16进制表示。

　　以上所有脚本，既可放置在/etc/rc.d文件中，也可单独设立shell脚本，用命令sh执行。