IDC资讯中心
随着internet应用的日益普及,免费网络操作系统linux受到越来越多的网络爱好者 的关注。通过简单的安装,人们就可以获得linux提供的多项网络服务,诸如域名服务、电 子邮件、匿名ftp服务等。同时,它还提供了图形工作站所具有的xwindows系统。可以说 ,linux已经具备了网络服务器的所有功能。在此,笔者想结合自己的工作经验,谈谈linu x在另一方面的用途,即将linux作为路由器连接两个不同的网段,并在其上配置防火墙,以 实现网络的存取访问控制和流量统计的功能。
要想使一台装有linux的pc具有路由器的功能,首先要进行硬件配置。名为router的pc上装有linux系统,并配有两块网卡,每块网卡连接一个不同的网段,该机作 为路由器在两个网段间转发ip数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动程序将中断分别设为不同值。笔者在实践时将其中断号和i/o地址分别设置为:3,0x300h 和4,0x320h。
硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模式下,linux系统不具 备路由器的功能,因此,必须重新安装linux内核。以slackware版的linux为例,其重新配 置内核的过程为:
1. #cd/usr/src/linux
/*进入linux的源代码目标*/
2. #make config
/*进行编译选项的配置*/
在该步中,系统会提供编译过程中的一些选项,供用户根据自己的实际情况进行选择 。对于无法确定的选项,用户可选择系统缺省值。在网络部分编译的询问中,会出现如下 的提示:
network firewall[y/n/n]?
/*内核是否支持防火墙*/
……
tcp/ip networking[n/y/y]?
/*主机是否连接tcp/ip网络*/
ip: forwarding/gatewaying [n/y/y]?
/*主机是否转发数据库或作为网关*/
……
ip:firewalling[y/n/n]?
/*是否在tcp/ip网络内设置防火墙*/
ip:firewall packet logging[y/n/n]?
/*是否在防火墙上登记数据包*/
……
ip:accounting[y/n/n]?
/*是否对数据包计帐*/
ip:optimize as router not host[y/n/n]?
/*是否将主机设置为路由器*/
……
ip:multicats routig [y/n/n]?
/*路由器是否向外广播路由信息*/
因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这些选项统一选”y”。
3.#make dep
/*根据编译选项做编译前的准备工作*/
4.#make zlmage
/*开始编译内核并命名编译后的内核文件名为zlmage*/
编译后的内核存于”/usr/src/linux/arch/i386/boot”目录。在系统原内核备份后, 用户可将该文件拷贝到根目录下,并改名为”vmlinuz”,运行”lilo”,使其在下次启动时生 效。
重构内核后,需对两块网卡的tcp/ip部分进行设置,使其能有效地连接两个不同的网 段,并能在两个网段进行ip数据包的转发。设置步骤为:
1.对于ne2000兼容的网卡,修改”/etc/rc.d/rc.modules”文件;
/sbin/modprobe ne io=0x300,0x320
/*识别两块网卡*/
2.修改”/etc/rc.d/rc.inetl”文件,设置两网卡的ip地址、掩码及到两网卡的路由
信息;
ipaddr=”202.207.0.27″
network=”202.207.0.0″
broadcast=”202.207.0.255″
ipaddr1=”202.207.7.2″
network1=”202.207.7.0″
broadcast1=”202.207.7.255″
netmask=”255.255.255.0″
/sbin/ifconfig eth0 ${ipaddr} broadcast${broadcast} netmask${netmask}
/sbin/ifconfig eth1 ${ipaddr1} broadcast${broadcast1} netmask${netmask}
/sbin/route add-net ${network} netmask${netmask} eth0
/sbin/route add-net ${network1} netmask ${netmask} eth1
3.修改”/etc/rc.d/rc.inet2″文件,打开关于”routed server”的注释,使其可以与其它路由器交换路由信息,并转发ip数据包。
## start the routed server
if[-f ${net}/routed];then
echo -n”routed”
${net}/routed -g -s
/*启动程序*/
fi
4.在”/etc/lilo.conf”文件中增加一行,使其在启动时识别第二块网卡。
append=”ether=0,0×320,ethl”
完成上面的设置后,应重新启动计算机,系统会识别到两块网卡,并按照”/etc/rc.d/ rc.intel”文件中的说明对网卡的ip地址、掩码进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面的命令即可看到关于网卡和路由的信息。
#ifconfig /*显示网卡的详细信息*/
#route
/*显示系统的路由表*/
笔者曾将学生机房局域网内的pc通过linux路由器与校园网相接,并进一步通过校园 网进入internet。此外,笔者又在linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了学生对非法ip地址的访问,并成功地记录下每个ip地址的网络流量,为计费和网 管提供了依据。linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。其命令格式非常简单,现举例如下:
#ipfwadm -a
/*对通过路由器的所有数据包进行计帐*/
#ipfwadm -i -a accept -s 162.105.0.0/16
/*接受来自162.105.0.0网络的所有数据包*/
#ipfwadm -i -a deny -s 159.226.0.0/16
/*丢掉来自159.226.0.0网络的所有数据包/
#ipfwadm -o -a reject -s 210.32.0.0/12
/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/
读者可根据实际需要进行防火墙的配置,以达到期望的效果。
