Resolución de instancias: configuración relacionada con el firewall transparente del sistema Linux

A veces, no queremos cambiar el entorno de red original, a menudo la administración de seguridad de la red, esta vez podemos usar el firewall transparente, esta vez usamos el módulo puente, por supuesto Pertenece a la segunda capa.

Lab Environment:

server ——firewall —— client

server ip address: 192.168.1.100

dirección IP del cliente: 192.168.1.200

dirección IP del cortafuegos: 192.168.1.1

Requisitos:

Sólo permita que los servidores pasen por el entorno de red El archivo se transfiere al cliente (este proceso es unidireccional), el servidor y el cliente pueden confirmarse mutuamente a través de la solicitud de eco icmp (este proceso es bidireccional) //Este artículo se transfiere desde www.45it.com software de computadora y red de aplicaciones de hardware

Pasos:

1. Vincule una tarjeta de red a una interfaz de puente (

El firewall debe tener al menos dos tarjetas de red, luego Al unirlos, el firewall puede ser puenteado, primero necesita instalar los componentes bridge-utils y bridge-utils-devel dos, estos dos componentes unirán eth0 y eth1 en un dispositivo puente, de acuerdo con nuestros requisitos . Mi entorno es rhcl 4.4 configuraciones falsas, estos dos componentes están disponibles en el CD

# rpm-ivh bridge-util- ×

Luego vincule eth0 y eth1 a bri0 Interfaz

#ifconfig eth0 0.0.0.0

#ifconfig eth1 0.0.0.0

#brctl addbr bri0

#brctl addif bri0 eth0

#brctl addif bri1 eth1

Use brctl show para confirmar:

#brctl show

nombre de birdge bridge id STP habilitar interfaz

bri0 8000.000347305b3 no eth0

eth1

Aquí está el problema

Aquí, desde que se estableció la interfaz bri0 Entonces, ¿está escrito en la dirección ip anterior? La respuesta es sí,

Con la dirección IP podemos hacer el control remoto, hay dos formas de configurar, una se escribe manualmente, la segunda se obtiene mediante el servidor dhcp

Escrito a mano:

#ifconfig bri0 192.168.1.1 netmask 255.255.255.0 up

dhcp client

# dhclient bri0

Lo anterior puede escribir scripts de shell, cada vez que el arranque se ejecuta automáticamente, uso rhel 4.4 en /etc/rc.local

2. Configurar la función de reenvío de firewall

< #> /vi/etc/systcl.conf

#Controla el reenvío de paquetes ip

net.ipv4.ip_forwarding = 1

#sysctl -p

Se puede probar, el servidor actual y la conexión de red del cliente xing

3. Establezca la estrategia

En cuanto a la estrategia es jugar iptables, la parte básica no la creeré Todos entienden que es más profundo que yo, porque hoy es un día de descanso y la escritura es amarga.

Vaya al tema:

Por razones de seguridad, primero configure la política predeterminada de reenvío y solo libere el protocolo smb y la solicitud icmp ech0

# iptables -P HACIA ADELANTE

En este momento, el servidor y el cliente no están conectados.

La configuración permite que pasen n paquetes:

# iptables: A FORWARD -m estado -Estado RELACIONADO, ESTABLECIDO -j ACCPT

Permitir solicitud icmp ech0:

#iptables -A -FORWARD -s 192.168.1.0/24 -p icmp -icmp-type 8 - j ACCPT

Configurar solo el servidor para enviar archivos al cliente a través del Entorno de red

#iptables -A FORWARD -s 192.168.1.100/24 ​​-d 192.168.1.200/24 ​​-p tcp -dport 139 -j ACCPT

#iptables -A FORWARD -s 192.168.1.100,24 -d 192.168.1.200/24 ​​-p tcp -dport 445 -j

ACCPT

Esto está bien.