
首页 > 网管技术 > 路由技术 > 正文

基于Linux的路由器和防火墙配置

赛迪网 (2005-04-04 17:51:02)

随着Internet应用的日益普
的安装,人们就可以获得Linux提
还提供了图形工作站所具有的Xw
者想结合自己的工作经验,谈谈L
其上配置防火墙,以实现网络的

及,免费网络操作系统Linux受到越来
供的多项网络服务,诸如域名服务、
indows系统。可以说 ,Linux已经具
inu x在另一方面的用途,即将Linux
存取访问控制和流量统计的功能。

越多的网络爱好者的关注。通过简单
电子邮件、匿名FTP服务等。同时,它
备了网络服务器的所有功能。在此,笔
作为路由器连接两个不同的网段,并在

　　要想使一台装有Linux的PC
统,并配有两块网卡,每块网卡连
两块网卡的中断发生冲突,需要
分别设置为:3,0x300H 和4,0x32

具有路由器的功能,首先要进行硬件
接一个不同的网段,该机作为路由器
网卡驱动程序将中断分别设为不同值
0H。

配置。名为Router的PC上装有Linux系
在两个网段间转发IP数据包。为了防止
。笔者在实践时将其中断号和I/O地址

　　硬件配置完毕,还需要在软
因此,必须重新安装Linux内核。

件上做相应的配置。在通常的安装模
以Slackware版的Linux为例,其重新

式下,Linux系统不具备路由器的功能,
配置内核的过程为:

　　1. #cd/usr/src/linux

　　/*进入Linux的源代码目标*/

　　2. #make config

　　/*进行编译选项的配置*/

　　在该步中,系统会提供编译过程中的一些选项,
选项,用户可选择系统缺省值。在网络部分编译的

供用户根据自己的实际情况进行选择。对于无法确定的
询问中,会出现如下的提示:

　　network firewall[y/n/N]?

　　/*内核是否支持防火墙*/

　　……

　　TCP/IP networking[n/y/Y]?

　　/*主机是否连接TCP/IP网络*/

　　IP: forwarding/gatewaying [n/y/Y]?

　　/*主机是否转发数据库或作为网关*/

　　……

　　IP:firewalling[y/n/N]?

　　/*是否在TCP/IP网络内设置防火墙*/

　　IP:firewall packet logging[y/n/N]?

　　/*是否在防火墙上登记数据包*/

　　……

　　IP:accounting[y/n/N]?

　　/*是否对数据包计帐*/

　　IP:optimize as router not host[y/n/N]?

　　/*是否将主机设置为路由器*/

　　……

　　IP:multicats routig [y/n/N]?

　　/*路由器是否向外广播路由信息*/

　　因为我们要将此主机配置为路由器,并在其上

设置防火墙,故对这些选项统一选"y"。

　　3.#make dep

　　/*根据编译选项做编译前的准备工作*/

　　4.#make zlmage

　　/*开始编译内核并命名编译后的内核文件名为zlmage*/

　　编译后的内核存于"/u
将该文件拷贝到根目录下,并改
。

sr/src/linux/arch/i386/boot"
名为"vmlinuz",运行&quo

;目录。在系统原内核备份后, 用户可
t;lilo",使其在下次启动时生效

　　重构内核后,需对两块网卡的TCP/IP部分进行
段进行IP数据包的转发。设置步骤为:

设置,使其能有效地连接两个不同的网段,并能在两个网

　　1.对于NE2000兼容的网卡,

修改"/etc/rc.d/rc.modules&q

uot;文件;

　　/sbin/modprobe ne io=0x300,0x320

　　/*识别两块网卡*/

　　2.修改"/etc/rc.d/rc

.inetl"文件,设置两网卡的IP

地址、掩码及到两网卡的路由

　　信息;

　　IPADDR="202.207.0.27"

　　NETWORK="202.207.0.0"

　　BROADCAST="202.207.0.255"

　　IPADDR1="202.207.7.2"

　　NETWORK1="202.207.7.0"

　　BROADCAST1="202.207.7.255"

　　NETMASK="255.255.255.0"

　　/sbin/ifconfig eth0 ${IP

ADDR} broadcast${BROADCAST} netm

ask${NETMASK}

　　/sbin/ifconfig eth1 ${IPADDR1} broadcast

${BROADCAST1} netmask${NETMASK}

　　/sbin/route add-net ${NETWORK} netmask${

NETMASK} eth0

　　/sbin/route add-net ${NE

TWORK1} netmask ${NETMASK} eth1

　　3.修改"/etc/rc.d/rc
与其它路由器交换路由信息,并

.inet2"文件,打开关于"R
转发IP数据包。

outed Server"的注释,使其可以

　　## Start the Routed server

　　if[-f ${NET}/routed];then

　　echo -n"routed"

　　${NET}/routed -g -s

　　/*启动程序*/

　　4.在"/etc/lilo.conf"文件中增加

一行,使其在启动时识别第二块网卡。

　　append="ether=0,0x320,ethl"

　　完成上面的设置后,应重新
rc.intel"文件中的说明对
统,键入下面的命令即可看到关

启动计算机,系统会识别到两块网卡,
网卡的IP地址、掩码进行设置。启动
于网卡和路由的信息。

并按照"/etc/rc.d/
完成后,以超级用户root 的身份进入系

　　#ifconfig /*显示网卡的详细信息*/

　　#route

　　/*显示系统的路由表*/

　　笔者曾将学生机房局域网内
此外,笔者又在Linux路由器上配
并成功地记录下每个IP地址的网
令逐条进行,也可编写shell程序

的PC通过Linux路由器与校园网相接,
置了防火墙。实践证明,防火墙有效
络流量,为计费和网管提供了依据。
放到系统的启动目录下自动执行。

并进一步通过校园网进入Internet。
地控制住了学生对非法IP地址的访问,
Linux的防火墙配置可以通过简单的命
其命令格式非常简单,现举例如下:

　　#ipfwadm -A

　　/*对通过路由器的所有数据包进行计帐*/

　　#ipfwadm -I -a accept -S 162.105.0.0/16

　　/*接受来自162.105.0.0网络的所有数据包*/

　　#ipfwadm -I -a deny -S 159.226.0.0/16

　　/*丢掉来自159.226.0.0网络的所有数据包/

　　#ipfwadm -O -a reject -S 210.32.0.0/12

　　/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/

　　读者可根据实际需要进行防火墙的配置,以达到期望的效果。

(http://www.fanqiang.com)

原文链接：http://www.chinaitlab.net/netprod/article_show.asp?id=1003223

相关文章

以Linux做路由器的问题 2001-04-27 12:53:15
Solaris网络管理培训（第三章：路由和网关） 2001-05-16 01:15:00
关于配置DHCP服务器时的路由问题分析 2001-05-31 08:10:00
路由器原理及路由协议 2001-04-19 14:15:05
Cisco路由器配置教程 2001-04-19 14:28:01
CISCO路由器配置基础 2001-04-19 15:42:48
Cisco路由器安装向导 2001-05-01 22:10:52


★ 感谢所有的作者为我们学习技术知识提供了一条捷径 ★ www.fanqiang.com