[问题求助][img]http://linux.chinaunix.net/bbs/images/default/folder_jinghua.gif[/img]简易防火墙建置与流量统计 [复制链接]

1. 序言

　　.防火墙基本上.是为了预防别人来存取你的网络，进而管制网络上资料的进出，防火墙一端连接外部.的网络(经由真实的IP)，另一端则连接内部的网络(虚拟的IP)，将你内部的网络与外部的网络给隔离开，防火墙成了.进入你内部网络的唯一通道，因此任何进出的资料都要经过防火墙，再经由防火墙来决定是否能够通行，因此对于安全性更多加了一份保障。虚拟主机

　　另外在本文中也介绍两个重量级的软件，方便监看.网络流量和过往的网络封包，这也应是防火墙中的功能.之一。投资

2. 防火墙的种类

2.1 封包过滤器

　　封包过滤器的功能为取得每一个数据包，根据设.定的规则去进行过滤，看是否允许数据包的传送或是拒绝封包，数据包过滤器存在于网络层，而且不会影响到数据包中的资料。在 RedHat Linux 中有.一个 ipchains的 套件(6.0以上已.内含)，可以经由它来做数据包过.滤器。           女人

2..2 代理服务器(Proxy f.irewalls).

　.　代理服务.器又常被称为应用程序网关，允许通过防火墙间接进入互连网。[成人用品]

3. 开始架设防火墙

　　网络位址转换 NAT(N.etword Address. Translation)服务器

　　由于互连网的发展愈来愈蓬勃.，电脑的数量也跟著急遽增加，导致目前 IP 不足，一 IP 难求的现象，所以解决之道要使用.虚拟.的 IP，相信虚拟 IP 必会成为未来的趋势。网络上保留了特定 IP 供给私人.虚拟网络使用，在真实的网络上将不会找到这三组 IP，这些虚拟 IP 位址为：学习

　　　.　Cla.ss A 10.0.0.0 ~ 10.255.255.255教育
　..　　　Class B 172.16.0.0 ~ 172.31.255.255           女人
　　　　Class C 192.168.0.0 ~ 192.1..68.255.255    健康

3.1 查看网络卡状态

　　首先必须要有两张网络卡介面，一张对外(使用真实 IP)et..h1，一张对内(使用虚拟 IP)eth0，执行教育

　　　　ifconf.ig -a健康

　　会出现网.络卡.的设定值，看是否两张网络卡都有抓到。教育

　　在这里要注意的是，可能你抓到的是 eth0 和 eth1的设定值是相反的，也就是说 eth0 对应到的是真实的 I.P、eth1 对.应到的是虚拟 IP，以笔者的实作，如果是这样的话，必须要做修改，否且网络会.连不出去，在下面会提到。虚拟主机

　　有可能在装好系统开机时，可能会卡在开机时的.画面，可能是这样子的话，建议拿掉一张网络卡.重开机，设定完之后再插上。.

　　　　ifconfi.g -A | more.

　　查看目.前所启动的网络卡界面，目前为全设好的状态--------------彩票

http://upload.bbs.csuboy.com/Mon_1004/126_6908_ab8aafb67d654df.gif[/img]             汽车
3.2 配置文件/etc/.sysconfig/netwo.rk            杀毒

　　若只有有一张网卡，那.我们就直接手动安装另.一张网卡，首先切换目录到 /etc/sysconfig 中，有一个档案 network，其内容为：(广告)

http://upload.bbs.csuboy.com/Mon_1004/126_6908_78011fe6b995466.gif[/img]电影

其中的 FORWARD_IPV4 要设为 ye..s，才可以去启动 IP 伪装转换电脑

3..3 /etc/sysconfig/network-scripts/if.cfg-eth1.

　　接著.到 /etc/sysconfig/network-scr.ipts 目录中，会有下列档案电影

http://upload.bbs.csuboy.com/Mon_1004/126_6908_98a7d0a276f6fb8.gif[/img]             电子

目前我们要注意的是 ifcfg-eth0.、ifcfg-eth1 这两个档案，在你安装完之后它只有 ifcfg-eth0 这个档案，并没有 ifcfg-eth1。首.先将 i.fcfg-eth0 复制成 ifcfg-eth1，执行.

cp ifcfg-eth0 ifcfg-e.th1.

　　其中 ifcfg-et.h1 为对外网络卡的设定档，依自己的设备去.修改，其内容为：--- 印刷

　　　　第一行指.定网络卡的界面为：eth1.
　　.　　第三行指定广播位.址为：192.192.73.255.
　　　　第四行指定IP位.址为：192.192..73.35           女人
　　　　第五行指定网络遮罩为：.255.255..255.0          婚庆
　.　.　　第六行指定网络号码为：192.192.73.0             汽车
　　　　第七行.指定是否在开机后去启动网络卡界面服务器
http://upload.bbs.csuboy.com/Mon_1004/126_6908_f9421bb828a4933.gif[/img].

3.4 .配置文件/etc/sysconfig/netw.ork-scripts/ifcfg-eth0域名

　　在这.我们直接修改设.定档 ifcfg-eth0，做为内部虚拟的网络卡介面，其内容为：域名

　　　　第一行指.定网络卡的界面为：eth0    美容
　　　　第三行指定广播位址为：.1.92.168.1.255    健康
　　　　第四行指定I.P位址为：.192.168.1.1           鲜花
　　　　第五行指定网络遮罩为：255.2.5.5.255.0<性病>
　　　.　第六行指定网.络号码为：192.168.1.0            杀毒
　　　　第七.行指定是否在开机后去启动网络卡界面虚拟主机
http://upload.bbs.csuboy.com/Mon_1004/126_6908_b9b126a857b1015.gif[/img]学习

在这我们指定的内.部网络，其中网络号码为 192.168.1.0，广播号为 19.2.168.1.255 所以真正可用的虚拟 ip .位址为 192.168.1.1 ~ 192.168.1.254。电脑

3.5 启动网卡

启动 关闭
执行 ifconfig. eth0 up ifconfig. eth0 down              汽车
执行 ifconfig eth1 up if.config eth1 dow.n            女人

3.6 设定路由表

　　当上述的配置文件设定完、.启动之后，我们必须替这两个网络去建立 route(路由).。.

　　route的命令为：

　.　　　route add -net n.etwork address netmask device[成人用品]
网段 真实网段 虚拟网段
网络号(network) 192.192.73.0. 192.168..1.0 <性病>
网络号(network) 255.255.255.0 255.2.55.255..0              汽车
网关(gateway) 192.192..73.1 192.168..1.1 .

　　真实网段路由的设法：

　　　　route .add －net 192.192.73.0 netmask 255.255.255..0 gw 192.192.73.1              乙肝

　　虚拟网段路由的设法：

　.　　　route .add －net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1.

　　其路由表为：

　　　　route －n
http://upload.bbs.csuboy.com/Mon_1004/126_6908_78011fe6b995466.gif[/img]教育

这样子就安装好了两张网络卡，eth1 就做为对外.部的网.络卡(真实的 IP)，eth0 做为对内部的网络卡(虚拟 IP)。外贸