使用Linux创建网桥式防火墙Web服务器教程

作者：Henry Stilmack
原文出处：http://www2.linuxjournal.com/articles/misc/0041.html
翻译：ideal
　

联合天文学中心在夏威夷岛的Manua Kea的14,000英尺高的山顶上拥有两个天文望远镜，还在Hilo市有自己的办公室及其他设施，该组织是是通过夏威夷大学连接到Internet上的，夏威夷大学在自己的B类IP地址范围内给天文中心分配了三个子网。以前天文中心的网络安全性是由出口路由器的ACL(访问控制列表)连同Soloris或Linux系统的主机访问控制(tcpwrappers)来实现的。最近天文中心的一个主要英国资助基金会在一次审核后强烈推荐安装防火墙来增强网络的安全性。在对几种商业和免费的防火墙产品进行调研以后，发现它们都需要对内部网络的三个不同子网地址都重新进行分配，分配为192.168的内部地址。内部网络的在三个子网上共有超过200个节点，某些嵌入式微处理器系统甚至需要重新烧制EEPROM以实现IP变换，这是一个非常麻烦和庞杂的任务。因此就开始寻找透明防火墙解决方案，实现即能保持原有的地址分配，又能实现对内部网络的防护。

Linux 2.2以上版本都支持以太网桥接方式。一个网桥的一个接口接收到数据报以后，通过检查目的MAC地址以后被转发到另外一个接口上，而不去检查源或目的IP地址。一个名为AC2I的法国公司发布了一个内核补丁实现在网桥化的接口上使用ipchains进行数据报过滤。这种解决方案能实现透明的防火墙，同时保证对内部网络提供上层的保护和访问控制。下面我们就讨论如何架设一个网桥式防火墙。

硬件配置

为了实现高效的防火墙和网络检测，系统CPU必须足够的强大和快速。该系统架设在一台拥有256M内存和500MHz的赛扬CPU系统之上。测试显示桥能满足一个10M以太网的速度要求，而不会出现丢包现象。系统需要三块网卡，其中两块网卡支持网桥的实现，另外一块用来实现对防火墙的管理。

磁盘容量并不是很重要，但是所有的log信息应该被保存下来。若希望维护某些本地logging(用于某些配置和检测工具)，则需要确保拥有足够的免费空间－防火墙和入侵检测记录往往非常庞大。

安装Linux

下面的讨论都基于Linux2.2.16(redhat7.0)版本内核，若使用2.4内核，iptables将会替代ipchains实现内核防火墙。

首先进行标准的Linux安装，但是基本上不要选择任何应用软件包，甚至包括xinet/inetd，因为在该系统上不需要运行任何服务。不要安装编译/开发工具，因为若系统被攻破则入侵者就不那么容易编译任何程序。但是需要安装Perl(某些报告工具是需要的)和OpenSSH(用于远程管理)。确保安装ipchains软件包－这对于就防火墙设置是必须的。一个web浏览器也许会很有用处。若你仅仅接收来自内部网络的时间更新那么安装NTP则不会有多大坏处。你可以选择安装某些X11应用，tcpwrapper及某些网络监控包(whois,finger,tcpdump,traceroute,nc等等)。创建一个非root账号，使用该账号登录系统。

安装时，仅仅配置一个主以太接口－该接口将是被保护网络的一个节点－为其配置一个固定的网络地址，此时应该将其连接到一个空的HUB上，在进行安全设置以后再将其连接到网络中。当系统安装完毕并重新启动时，在lilo引导系统时键入linux single以单用户模式引导进入系统，编辑/etc/hosts.allow来只允许管理机通过SSH来连接进入系统，然后重新启动按照正常模式引导进入系统。然后再将主以太接口连接到内部网络中。

创建支持网桥方式的内核

按照基本的内核编译步骤进行，只不过需要关闭大多数的选项开关，而仅仅打开一些必须的内核编译开关。

进入到/usr/src目录下，拷贝内核源代码到一个新创建的linux-fw目录下：

# cd /usr/src;mkdir linux-fw;cp -r linux-2.2.16 ./linux-fw
# rm linux;ln -s ./linux-fw linux

对linux源代码打linux_brfw2补丁，该补丁为ipchains添加了一个名为bridgein的缺省规则链。该链将被用来存放网桥式防火墙规则，但是该规则链中的规则只能使用ACCEPT或DENY目标，使用REJECT及MASQ是没有意义的。可以从http://ac2i.tzo.com/bridge_filter/处得到该补丁。

# patch -p0
进入/usr/src/linux目录，配置内核(这里假设你已经有编译内核的经验)，和网桥式防火墙相关的配置选项开关为：

CONFIG_MODVERSIONS=N
CONFIG_FIREWALL=Y
CONFIG_FILTER=Y
CONFIG_IP_FIREWALL=Y
CONFIG_IP_FIREWALL_NETLINK=Y
CONFIG_IP_ROUTE_FWMARK=Y
CONFIG_BRIDGE=Y

然后编译内核：

# make dep;make clean;make bzImage;make install

使用新生成的内核启动系统。

设置网桥

登录进入防火墙系统，假设是使用eth0作为管理接口，ifconfig －a将显示系统接口情况：

brg0 Link encap:Ethernet HWaddr FE:FD:04:E0:13:B5
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

eth0 Link encap:Ethernet HWaddr 00:90:27:B3:17:5C
inet addr:NNN.NNN.NNN.253 Bcast:NNN.NNN.NNN.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2242346 errors:0 dropped:0 overruns:0 frame:0
TX packets:3616430 errors:0 dropped:0 overruns:0 carrier:0
collisions:589902 txqueuelen:100
Interrupt:9 Base address:0xde80

eth1 Link encap:Ethernet HWaddr 00:01:02:CD:55:38
BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:65714 errors:0 dropped:0 overruns:0 frame:0
TX packets:1832954 errors:0 dropped:0 overruns:0 carrier:1
collisions:500 txqueuelen:100
Interrupt:10 Base address:0xdc00

eth2 Link encap:Ethernet HWaddr 00:01:02:C1:14:F1
BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2011596 errors:0 dropped:0 overruns:0 frame:0
TX packets:238126 errors:0 dropped:0 overruns:0 carrier:2
collisions:666 txqueuelen:100
Interrupt:11 Base address:0xd880