Linux透明防火墙（网桥模式）的部署与配置

### 网络结构与需求

在现有的网络环境中，为了增强安全性并实现对内部上网行为的灵活控制，如按时间段进行访问控制和流量限制等，我们选择部署一个透明防火墙（网桥模式）。这种模式的优势在于无需修改内网服务器或PC机的配置，从而简化了部署过程。

#### 现有网络拓扑图

#### 修改后的网络拓扑图

防火墙采用三块网卡配置：两块用于构建网桥，一块配置IP地址作为管理接口。内部网络访问不同网段时，数据包需要经过防火墙进行路由转换。Linux系统中的iptables和ebtables工具用于过滤和处理数据包。

### 防火墙工具分析

#### 1. iptables 工作原理

iptables 是一种强大的防火墙工具，主要工作在网络层。它通过多个链（如PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING）对数据包进行处理，支持多种规则匹配和操作。

#### 2. ebtables 工作原理

ebtables 主要作用于数据链路层，处理以太网帧。它可以改变MAC地址、过滤帧，并支持多种扩展功能，如DNAT、SNAT等。

#### 3. 桥接方式的工作流程

当数据帧进入Linux网桥后，会依次通过Ebtables的BROUTING链和PREROUTING链，然后是Iptables的PREROUTING链，再经过Ebtables和Iptables的FORWARD链，最后通过Ebtables和Iptables的POSTROUTING链。

### 系统安装与配置

#### 1. 系统安装

选择CentOS Linux 5.0，该版本使用Linux 2.6内核。安装过程中，选择文本模式，设置语言环境为英语，键盘类型为US，鼠标选择No-mouse，安装类型选Custom，分区方案如下：

- /boot: 100M (ext3)
- /: 10G (ext3)
- Swap: 1G
- /var: 剩余空间 (ext3)

使用GRUB Boot loader，默认启动参数不添加额外选项，Boot Loader安装在硬盘MBR。网络设置和主机名根据实际情况配置，防火墙安全级别设为无防火墙，语言支持选择English (USA) 和Chinese (P.R. of China)，默认语言为English (USA)，时区选择Asia/Shanghai，Root密码设置为redhat。

#### 2. 系统配置

禁用不必要的服务，保留crond、network、rsync、sshd、syslog、xinetd、iptables等关键服务。配置定时同步时间，关闭IPv6，修改默认启动内核为2.6版本，不要使用带有Xen的内核。

### 防火墙实现

#### 1. 网卡配置

建立网桥br0，并将eth1和eth2网卡添加到网桥中。eth0一般作为管理网卡，配置其IP地址为10.0.254.252，子网掩码为255.255.252.0，网关为10.0.254.254。

#### 2. 防火墙策略配置

实施防火墙策略的一般过程是先禁止所有转发的数据包，然后再根据需要设定过滤规则。例如，允许ICMP协议、特定IP段的访问以及特定主机的访问。

#### 附录：ebtables 和 iptables 使用规则

提供了一些常用的ebtables和iptables命令示例，包括链的基本操作、规则匹配、端口匹配、状态匹配等，帮助用户更好地理解和配置防火墙规则。