引言:
从www.linuxeden.com上看到的....
透明防火墙架设的完全攻略(bridge+iptables+squid)
架设透明代理和防火墙是linux平台上很热的话题,在水木上也有相关文章,但完全的攻略在公网上也很少,最近架了一台,前后花去一个多星期(我这人手脚慢,别笑...
摘要:
fedora core 计划第一个发行版本今天可以下载,现在向大家介绍一种把redhat旧版本升级到fedora core 1的方法:
fedora core 1 is also available as yum repository
yum is an automatic updater and package installer/remover for rpm systems. it automatically computes depen......
摘要:
思路:
使用cdrom引导并运行linux,关键要解决如下问题:
一:如何把系统运行时候使用的文件系统/dev,/var,/tmp变成可写。
二:如何改变系统引导顺序
基本步骤:
(0) 环境准备
。准备一个pc
大硬盘
光盘刻录机
128m内存
分区如下
/dev/hda1 linux boot ext2
/dev/hda2 linux root ext2
/dev/hda3 linux swap
/dev/hda4 e......
透明防火墙架设的完全攻略(bridge+iptables+squid)[转帖]
从www.linuxeden.com上看到的....
【相关文章:
Linux bootloader 编写方】 【扩展阅读:
大侠帮我看看,怎么多了条route?】
【扩展信息:
initrd-x.x.x.img文件分析】
透明防火墙架设的完全攻略(bridge+iptables+squid)
架设透明代理与防火墙是linux平台上很热的话题,在水木上也有相关文章,但完全的攻略在公网上也很少,最近架了一台,前后花去一个多星期(我这人手脚慢,别笑,中间笑话也颇多)觉得还是把过程写下来的好,可以让人依葫芦画瓢。
先把网络环境说一下,一个200人左右的局域网,一个c class,一台路由器做nat(一个公网ip)。网络环境还是很简单的,目的就是在路由器与局域网间加一台透明防火墙进去,同时完成cache server的功能。我不想让防火墙做nat,一是因为已经有了一台路由器,要物尽其用。二是nat其实也是很耗资源的事(尤其当下面的clients特别多时,对router cpu的要求还是很高的,我就碰到过一台cisco 75xx 路由器拖1000个用户5分钟死一次机的事,后来不得已架了一台pix做nat)还是分分开的好。三是万一cache server 趴下了,只要把链路重新旁接一下,网络照样用(顶多性能不好),不会影响用户。
防火墙的平台为一p4 2.4g server, 512m内存,2×80ghd,两块nic。安装的是rh8.0 kernel 2.4.20(原来想装gentoo的,但要命的1.4到现在才刚到rc3,等不及了,偷了一把懒~_~)
先下载bridge做桥接,bridge的作用就是让两块网卡变成一个桥设备,让两端的网络端口完全透明地转发packets,而让iptables起到blocking的作用。下载地址为http://bridge.sourceforge.net(什么?sourceforge?不知道上不去啊!没办法,因为众所周知的原因,大伙找https proxy绕上去吧!)需下载bridge-utils-0.9.6.tar.gz与bridge-nf-0.0.7-against-2.4.19.diff。(这个很重要,否则iptables无法拦截转发过来的packets)
再到http://netfilter.samba.org下载iptables,并到www.linuxhq.xom下载最新的kernel及patch。
在/usr/src下释放kernel,进入/usr/src/linux,并把bridge的patch打上,patch –p1 < bridge-nf-0.0.7-against-2.4.19.diff.
最后还有个问题,此时用ifconfig看到的流量,在过了4g之后就会被置0,然后从头开始,很不爽。这是因为 rx bytes and tx bytes等变量的数据类型为 unsigned long,即2^32,到了4g就重置,其实把它们改成unsigned long long(2^64)就可以了。更改
/usr/src/linux/include/linux/netdevice.h 与../linux/net/core/dev.c,以下是打patch时的记录,找到文件改掉相应代码即可。
diff -urn linux-orig/include/linux/netdevice.h linux/include/linux/netdevice.h
--- linux-orig/include/linux/netdevice.h
+++ linux/include/linux/netdevice.h
@@ -96,10 +96,10 @@
struct net_device_stats
{
- unsigned long rx_packets; /* total packets received */
- unsigned long tx_packets; /* total packets transmitted */
- unsigned long rx_bytes; /* total bytes received */
- unsigned long tx_bytes; /* total bytes transmitted */
+ unsigned long long rx_packets; /* total packets received */
+ unsigned long long tx_packets; /* total packets transmitted */
...
下一页 摘要:
请问那里可以下载到支持网桥防火墙的内核还有就是在实现中需要注意些什么吗?
網中人 回复于:2003-10-31 14:57:05
have a look at:
http://bridge.sourceforge.net/
q1208c 回复于:2003-10-31 15:08:02
能给小弟说说桥式防火墙是什么吗?让俺也长长见识。
網中人 回复于:2003-10-31 15:23:39
簡單而言,就是 trans......
