簡易防火牆建置與流量統計之一(轉)

簡易防火牆建置與流量統計之一(轉)[@more@]

序言

防火牆基本上是為了預防別人來存取你的網路，進而管制網路上資料的進出，防火牆一端連線外部的網路(經由真實的 IP)，另一端則連線內部的網路(虛擬的IP)，將你內部的網路與外部的網路給隔離開，防火牆成了進入你內部網路的唯一通道，因此任何進出的資料都要經過防火牆，再經由防火牆來決定是否能夠通行，因此對於安全性更多加了一份保障。

另外在本文中也介紹兩個重量級的軟體，方便監看網路流量和過往的網路封包，這也應是防火牆中的功能之一。

第 1 章 防火牆的種類

1. 封包過濾器

封包過濾器的功能為取得每一個資料包，根據設定的規則去進行過濾，看是否允許資料包的傳送或是拒絕封包，資料包過濾器存在於網路層，而且不會影響到資料包中的資料。在 RedHat Linux 中有一個 ipchains的 套件(6.0以上已內含)，可以經由它來做資料包過濾器。

2.代理伺服器(Proxy firewalls)

代理伺服器又常被稱為應用程式閘道器，允許透過防火牆間接進入互連網。

第 2 章 開始架設防火牆

網路位址轉換 NAT(Netword Address Translation)

由於互連網的發展愈來愈蓬勃，電腦的數量也跟著急遽增加，導致目前 IP 不足，一 IP 難求的現象，所以解決之道要使用虛擬的 IP，相信虛擬 IP 必會成為未來的趨勢。網路上保留了特定 IP 供給私人虛擬網路使用，在真實的網路上將不會找到這三組 IP，這些虛擬 IP 位址為：

Class A 10.0.0.0 ~ 10.255.255.255

Class B 172.16.0.0 ~ 172.31.255.255

Class C 192.168.0.0 ~ 192.168.255.255

§ 2.1 檢視網路卡狀態

首先必須要有兩張網路卡介面，一張對外(使用真實 IP)eth1，一張對內(使用虛擬 IP)eth0，執行

ifconfig - a

會出現網路卡的設定值，看是否兩張網路卡都有抓到。

在這裡要注意的是，可能你抓到的是 eth0 和 eth1的設定值是相反的，也就是說 eth0 對應到的是真實的 IP、eth1 對應到的是虛擬 IP，以筆者的實作，如果是這樣的話，必須要做修改，否且網路會連不出去，在下面會提到。

有可能在裝好系統開機時，可能會卡在開機時的畫面，可能是這樣子的話，建議拿掉一張網路卡重開機，設定完之後再插上。

ifconfig - A | more

檢視目前所啟動的網路卡介面，目前為全設好的狀態

§ 2.2 配置檔案/etc/sysconfig/network

若只有有一張網路卡，那我們就直接手動安裝另一張網路卡，首先切換目錄到 /etc/sysconfig 中，有一個檔案 network，其內容為：

其中的 FORWARD_IPV4 要設為 yes，才可以去啟動 IP 偽裝轉換

§ 2.3 ?э/etc/sysconfig/network-scripts/ifcfg-eth1

接著到 /etc/sysconfig/network-scripts 目錄中，會有下列檔案

目前我們要注意的是 ifcfg-eth0、ifcfg-eth1 這兩個檔案，在你安裝完之後它只有 ifcfg-eth0 這個檔案，並沒有 ifcfg-eth1。首先將 ifcfg-eth0 複製成 ifcfg-eth1，執行

cp ifcfg-eth0 ifcfg-eth1

，其中 ifcfg-eth1 為對外網路卡的設定檔，依自己的裝置去修改，其內容為：

第一行指定網路卡的介面為：eth1

第三行指定廣播位址為：192.192.73.255

第四行指定IP位址為：192.192.73.35

第五行指定網路遮罩為：255.255.255.0

第六行指定網路號碼為：192.192.73.0

第七行指定是否在開機後去啟動網路卡介面

§ 2.4 配置檔案/etc/sysconfig/network-scripts/ifcfg-eth0

在這我們直接修改設定檔 ifcfg-eth0，做為內部虛擬的網路卡介面，其內容為：

第一行指定網路卡的介面為：eth0

第三行指定廣播位址為：192.168.1.255

第四行指定IP位址為：192.168.1.1

第五行指定網路遮罩為：255.255.255.0

第六行指定網路號碼為：192.168.1.0

第七行指定是否在開機後去啟動網路卡介面

在這我們指定的內部網路，其中網路號碼為 192.168.1.0，廣播號為 192.168.1.255

所以真正可用的虛擬 ip 位址為 192.168.1.1 ~ 192.168.1.254。

§ 2.5 啟動網路卡

啟動： 關閉：

執行： ifconfig eth0 up ifconfig eth0 down

執行： ifconfig eth1 up ifconfig eth1 down

§ 2.6 設定路由表

當上述的配置檔案設定完、啟動之後，我們必須替這兩個網路去建立 route(路由)。

route的命令為：

route add -net network address netmask device

網段 真實網段 虛擬網段

網路號(network) 192.192.73.0 192.168.1.0

網路掩碼(netmask) 255.255.255.0 255.255.255.0

閘道器(gateway) 192.192.73.1 192.168.1.1

真實網段路由的設法：

route add －net 192.192.73.0 netmask 255.255.255.0 gw 192.192.73.1

虛擬網段路由的設法：

route add －net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

其路由表為：

route －n

這樣子就安裝好了兩張網路卡，eth1 就做為對外部的網路卡(真實的 IP)，eth0 做為對內部的網路卡(虛擬 IP)