[问题求助]linux下的桥式防火墙（原创） [复制链接]

由于本人水.平有限，不足之处敬请指出。欢迎转载，请指明出处。本文档只.说明具体实现过程，相关的概念，请找我老师：google。<性病>
      概要：通过网桥的方式实现对包过滤，最大的好处是完全工作在前.三层，直接对mac地址操.作，与ip无关。linux下要实现桥式防火墙需要两个工具：brctl 和 ebtables，其中brctl实现网络（网卡）桥接，也就是建网桥。ebtables负责.对kernel建过滤策略（iptab.les的功能）。
      实现：
      1。重新编译kernel支持bridge和ebtables。2.6的kernel直接支持，2.4的需要下载相关的patch，可以到http://ebtables.sourceforge.net/上下载ebtables_kernel相应的版本。编译时要选择networking support——》networking options中802。1d ethernet bridging，和 Network packet filtering (replaces ipchains) －－》Bridged IP/ARP packets filtering－－》Bridge: Netfilter Configuration  --->;相关ebt的选项。(        游戏          )
      2。从http://bridge.sourceforge.net/download.html 下载bride-utils,http://ebtables.sourceforge.net/下载ebtables 编译安装。现在已经可以测试kernel做好没有，执行brctl，和ebtables看有没有报错。否则要重做kernel。.
      3。.建网桥：首先需要两张网卡（废话），假设为eth0,eth1.不要给上任何的IP.激活网卡，如.果已经有ip可以用：ifconfig ethx down教育
然后：ifconfig ethx 0.0.0...0 up把网卡都起来。.
执行：#brctl addbr testbr.        */其中te.stbr是网桥的名字。            杀毒
         #brctl stp testbr of.f       .*/网络中只有一个桥，不需要stp外贸
.        #.brctl addif testbr eth0           婚庆
         #brct.l addif testbr eth1  */把et.h0加入桥中。           女人
         #ifconfig. testbr .up          */起动网桥。外贸
恭喜你!到这里网桥已经建好，可以做简单的测试，分别在两张网卡上接台pc，ip设为同一网段的，已经可以互通（不需要启动ip转发）。现在可以对网卡和网桥加IP地址：ifconf.ig eth0 x.x.x.x netma.sk. x.x.x.x(        游戏          )
其实是可以不.加的，只为管理或ip转发的需要。所以又.叫透明式防火墙。--- 印刷
       4。建策略：可以通过ebtab.les加上策.略。如果曾经用过iptable.s比较容易理解，看看man ebtables的说明和ebtables上的文档。这里我只引用文档上的sample：    健康
ebtables .-P FORWARD DROP.
ebtables -A FORWARD -p IPV4 -s xxxhttp://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img]xhttp://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img]x -j ACCEPT http://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img].
ebtable.s -.A FORWARD -p ARP -j ACCEPT.
ebtables -.A FORWARD -p LENGTH -j ACCE.PT虚拟主机
完成以后只有xxxhttp://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img]xhttp://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img]x 的mac地址可以通过网桥，跟ip无任何关系。http://upload.bbs.csuboy.com/Mon_1004/126_7072_df017f5679398c9.gif[/img]--------------彩票
      ebtables完成的功能可以是非常的强大，我也只是.只菜鸟，.那位有兴趣的可以交流交流。（发站内短信）    美容
             .                   .      2004.04.21    美容

应该是两台（或多台）机器（或网络）通过一台机器连接。

辛苦，终于等来了~下去慢慢看

沉得真快。

收了，回去慢慢看