透明防火墙架设

最近因公司需要上一个项目,需要用到透明防火墙,这里把实施过程写下来。

透明防火墙的优点很多,可在网络上的任意点架设,如果不设置IP在网络上几乎是攻击不到(因防火墙本身没有IP,但是否真的100%避免攻击,有没有其他特殊手段,这里还不敢断言。)

架设透明就是两个步骤,首先把linux主机变为网桥,而网桥最少需要两块网卡。

这里需要安装一个网桥管理工具

    yum install bridge-utils

网络配置如下:

vi /etc/sysconfig/network-script/ifcfg-eth0

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none

vi /etc/sysconfig/network-script/ifcfg-eth1

DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none

以下可写成script,方便开机启动。

    echo 1 > /proc/sys/net/ipv4/ip_forward
    brctl addbr br0    //增加网桥接口br0
    brctl addif br0 eth0    //向网桥接口br0增加网卡eth0
    brctl addif br0 eth1    //向网桥接口br0增加网卡eth1
    ifconfig br0 up         //启用网桥接口br0

如果想要网络连线管理,可于网桥上设置IP,当然安全性就会降低。

ifconfig br0 192.168.1.2 netmask 255.255.255.0
ifconfig br0 up

查看网桥接口:

    brctl show

网桥卸载:

brctl delif eth0
brctl delif eth1
ifconfig br0 down
brctl delbr br0

接下来就是防火墙的配置了,如只想要让某个IP段通过(更多的用法这里就不多写了,也不是特别专业)

iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT

以上防火墙就可以正常工作了,再有就是iptables规则在重启后就会丢失(这是一个很惨痛的教训,辛苦写了十几条规则一重启全没了。)所以还要记得保存一下

iptables-save > iptables_rules
iptables-restore < iptables_rules

透明防火墙架设

时间: 2024-07-28 14:26:36

透明防火墙架设的相关文章

透明防火墙

透明防火墙 很明显转发方式不同,功能也有些限制(毕竟不能当路由器用了),访问控制技术都有效 这个破草稿,居然会漏东西.待续.....

24-思科防火墙:ASA透明防火墙实验

一.实验拓扑:二.实验要求:1.show mode:单模式:show firewall:路由模式-->firewall transparent:ASA清除所有配置:切换透明模式是不需要重启的:透明模式的ASA是二层设备,所以这里的接口不能在配IP地址了,按Tab键也没有效果的:2.要配置一个管理IP地址,其实所谓的管理IP地址就是桥的主IP:配置:interface bvi 1,并配置IP地址:100.1.1.100,组是可以配IP地址的:3.因为有2个组,所以网管IP必须是有2个,增加B2组管

工业防火墙架构与技术【第一节:概述】

1.1.   工控防火墙概述 我们将应用于工业控制网络环境中的防火墙称为工业控制防火墙(ICF,Industrial Control Firewall).工业防火墙(IFW,IndustrialFirewalls)或工控防火墙(在本文中主要称为工控防火墙).和ICT环境的防火墙作用类似,其是一个具体设备(物理或虚拟),用于两个网络之间的隔离控制.在ICT环境中,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为.因其隔离.防守的属性,灵活应用于网络边界.子网隔离等位置,

cisco asa防火墙部署案例

查看当前防火墙的工作模式: ciscoasa# show firewall Firewall mode: Router 配置防火墙为透明模式: ciscoasa(config)# firewall transparent 配置防火墙为路由模式: ciscoasa(config)# firewall router PS:配置透明防火墙之后,运行配置会被清除,请注意保存配置到Flash存储器. 配置透明防火墙: ciscoasa(config)# firewall transparent cisco

关于PF_RING/Intel 82599/透明VPN的一些事

接近崩溃的边缘,今天这篇文章构思地点在医院,小小又生病了,宁可吊瓶不吃药,带了笔记本却无法上网,我什么都不能干,想了解一些东西,只能用3G,不敢 开热点,因为没人给我报销流量,本周末我只有一天时间,因为下雨,我还有一个晚上.了解了PF_RING之后,我迫切希望做一个实验,于是跑回家验证后再 回来. 事情的起因是这样的. 一共有4个问题 1.关于一个网络加速卡 前 些日子,接触到一款网络加速卡,插在PCIe插槽,卡上运行独立的Linux系统,通过PCIe和主机通信.这块卡号称其特点在于处理抓包的性

linux 网桥的配置与实现

==================================================================================from: http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.htmlALinux网桥的实现分析与使用文档选项未显示需要 JavaScript的文档选项 打印本页 将此页作为电子邮件发送级别: 初级祝顺民([[email protected]?subject

Linux Bridge的IP NAT细节探析-填补又一坑的过程

前序 近日温州皮鞋厂老板正在忙着学习Linux Bridge以及诸多虚拟网卡相关的东西,老湿给了一些指导,但最根本的还要靠温州老板自己.就好像有仙灵在聆听心声,我正因为温州老板的缘故一而再再而三地怀念曾经玩转Linux Bridge,Linux Netfilter的那段痛并快乐着的时光,另外一个好玩的东西恰在此时切入. 大概有三年多没有玩Linux Bridge了,甚是想念.感谢同事给我一个Bridge方面的疑难杂症让我诊断!        凭着经验,很快搞定了问题,但是如果就此了断怕是在多年后

【Neutron】Tenant Networks vs. Provider Networks

OpenStack的Neutron定义了两种主要类型的网络--Tenant网络和Provider网络.OpenStack管理员必须决定他们的Neutron网络部署策略将如何使用--Tenant网络.Provider网络或两者的某种组合. 本节将描述Tenant网络在私有云环境中所提出的独特挑战,并将为为什么shared Provider网络为企业私有云提供最佳的Neutron网络部署策略而提出一个论证.本节还将讨论网络的断言背后的基本原理. 在本文中,我将特别指出,在私有云环境中,Tenant网

第九章 大网高级 &nbsp; 日志和防火墙透明模式

透明模式 特点:   1. 在路由模式下,asa充当一个三层设备,基于目的ip地址转发数据包. 2. 在透明模式下,asa充当一个二层设备,基于目的MAC地址转发数据帧(没有配置nat时) 3. 在asa8.0之前的版本中,透明模式下不支持nat. 8.0 及其后续版本支持nat配置,如果配置了nat,asa转发数据包仍然使用路由查找. 4. asa充当二层设备时与交换机的不同之处.   区别:   1.对于目的MAC地址未知的单播数据帧,asa 不会泛洪而是直接丢弃. 2.asa不参与STP.