Linux让486成为内部网防火墙 -天瑞科技，深圳电脑维修，深圳电脑维护

　应用原理

　　在Linux系统里，如果网络
个连接访问Internet。使用这种
。这种方法称为IP伪装。

上的某台机器连接到了Internet上，
方式，仅仅通过一个IP地址，几个不

那么可以配置网络上的其它系统通过这
同的系统就可以同时连接到Internet上

　　在Linux上的IP伪装是用ipc
IP伪装和ipchains防火墙一样，

hains防火墙工具实现的。实际上，
支持所有通用的网络服务，如Web浏

配置防火墙也就是配置IP伪装。目前的
览、telnet、ping和gopher。

　　在Linux系统上实现的IP伪
地的机器使用防火墙的Internet
使用IP伪装，连接到Internet的
，它把发出请求的本地主机上的
上，就如同自己的请求一样。来
己的Internet地址来定位的。防
IP地址并通过本地网将其发送给
一样。

装，具有Internet地址的那台机器同
地址连接到Internet上。实现了IP伪
系统（防火墙）可监听到来自本地网
IP地址替换为防火墙Internet上的IP
自Internet上的响应会送到防火墙系
火墙接着判断该响应对应于本地系统
本地主机。对本地机器来说，连接是

时也作为局域网上的防火墙和网关。本
装的防火墙有时也被称为MASQ gates。
络上主机的Internet请求。接到请求后
地址，然后将这些请求发送到Internet
统上。防火墙所接收到的响应是通过自
上的哪一个请求，然后它删除该响应的
透明的，就如同直接连接到Internet上

　　防火墙的实现

　　1. 硬件配置

　　一台旧的AST 486DX/66的计算机，有8M内存和
网，同时主干网通过一个路由器连到中国地震局和

500M的硬盘，装有两块网卡，分别接到内部局域网和主干
Internet。

　　2.安装Linux系统

　　先对Linux系统来一次的安装(我使用的版本是
少,系统的后门、安全漏洞就越少，所以只装一个
Linux 2.2.5-15 kernel。

Redhat 6.0,所有实例都基于该版本)。因为所装的组件越
最小的系统就够了。选择一个稳定的内核，本例使用

　　Linux内核包括对防火墙的
伪装和代理。在使用ipchains之

支持，其中实现防火墙的工具称为ip
前，需要将它编译成为内核的一部分

chains。我们可以利用这个工具实现IP
。Redhat 6.0已经实现了这一部分。

　　3.配置两块网卡

　　由于AST 486DX/66机器中只有EISA、ISA扩展
通过该网卡的配置软件（3c5x9cfg.exe）进行中断
冲突。

槽，因此专门到市场上购得两块3C509（10M）以太网卡。
号和I/O地址的设置。注意不要与机器内已占用地址发生

　　4. 配置网络地址

　　我们将eth0的IP地址配置为
10.3.15.2（连接内部网的IP地

210.72.114.141(连接主干网的有效I
址），如图1所示。

P地址)，eth1的IP地址配置为

　　[[The No.1 Picture.]]

　　图1 配置网络地址

　　为了能在启动时进行网络配
ifcfg-eth1两个文件(具体内容

置,我在/etc/sysconfig/network-sc
略)。这两个文件在启动时由系统读

ripts 目录中加入了ifcfg-eth0和
取,配置网络和路由表。

　　5. 测试

　　用ifconfig 和route对系统进行测试，具体测试过程略。

　　安装IP MASQ gates

　　要实现IP伪装，需要用ipch
够转发所有要发出的数据,再配
任意访问。

ains来指定转发规则。在开始之前，
好路由表，保证内部网和外部网之间

要打开内核的IP forwarding,使系统能
畅通无阻了，在我们控制任意之下才能

　　实现方法：在/etc/rc.d/目录下创建一个scri
ipchains.rules确保为可执行文件，具体内容略)
/etc/rc.d/rc.local中，以确保每次机器重新启动
IP masquerading的包过滤防火墙就建立起来了。

pt，叫作ipchains.rules（执行#chmod u+x
。然后加一行/etc/rc.d/ipchains.rules到
后即运行所设定的各项防火墙规则。这样基于ipchains和

　　安全事项

　　上面的设置启动了一个基本的防火墙系统，禁
要注意下面四点。

止IP欺骗、广播包，但建立一个完整的防火墙系统，仍然

　　1.设置/etc/inetd.conf，
保留ftp、telnet服务，便于内
某些管理用户可以telnet/ftp到
telnet，我们可以安装SSH，用S

禁止所有不需要的服务，像所有的R
部维护用途。同时设置/etc/hosts.a
该防火墙。当然，更安全的办法是禁
SH/scp代替telnet和ftp。

命令、finger、talk等。一般而言，仅
llow和/etc/hosts.deny，仅允许内部
止所有的inetd服务。例如对于ftp、

　　2.启用影子口令(shadow password)，使远程用户获得根密码更为困难。

　　3.运行ntsysv检查，看是否启动了不需要的后台程序。

　　4.创建尽可能少的用户账号，不断升级有安全漏洞的软件包。

　　应用体会

　　我局利用Redhat 6.0版的Li
用了硬件资源，使得建立在Wind
信息网络平台上。在用户上网不
通信信道的作用，为地震信息的

nux操作系统，在AST 486计算机上建
ows NT Server 4.0系统上的省局内
受影响的前提下，有效地保护了内部
快速传递起了很好的作用。

立起来的包过滤防火墙系统，有效地利
部局域网系统平滑地接入到江西省地震
网络系统的安全。同时，还发挥了卫星

　　目前，不少单位和家庭都有淘汰下来的486或5
复杂的桌面应用，但是通过安装Linux系统却能搭
入。如果系统硬件资源允许的话，还可以通过配置
Internet带宽资源，提高上网效率。