假设有一个局域网要连接到Internet上,公共网络地址为202.101.2.25。内部网的私有地址根据RFC1597中的规定,采用C类地址192.168.0.0~192.168.255.0。为了说明方便,我们以3台计算机为例。实际上,最多可扩充到254台计算机。
具体操作步骤如下:
1、在一台Linux主机上安装2块网卡ech0和ech1,给ech0网卡分配一个内部网的私有地址191.168.100.0,用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25,用来与Internet相连。
2、Linux主机上设置进入、转发、外出和用户自定义链。本文采用先允许所有信息可流入和流出,还允许转发包,但禁止一些危险包,如IP欺骗包、广播包和ICMP服务类型攻击包等的设置策略。
具体设置如下:
(1)刷新所有规则
(2)设置初始规则
(3)设置本地环路规则
本地进程之间的包允许通过。
(4)禁止IP欺骗
(5)禁止广播包
(6)设置ech0转发规则
(7)设置ech1转发规则
将规则保存到/etc/rc.firewallrules文件中,用chmod赋予该文件执行权限,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules,这样当系统启动时,这些规则就生效了。
通过以上各步骤的配置,我们可以建立一个基于Linux操作系统的包过滤防火墙。它具有配置简单、安全性高和抵御能力强等优点,特别是可利用闲置的计算机和免费的Linux操作系统实现投入最小化、产出最大化的防火墙的构建。另外,如果在包过滤的基础上再加上代理服务器,如TIS Firewall Toolkit 免费软件包,还可构建更加安全的复合型防火墙。
