高性能linux双效防火墙howto(页 1) - Linux/Unix系统安全 - Linux伊甸园论坛

kinglee 发表于 2003-12-30 10:42

高性能linux双效防火墙howto

by kinglee

关键词：防火墙透明代理 linux ramdisk squid iptables grub
系统功能说明：
包过滤和WEB代理双效合一。由iptables 实现包的过滤,由LINUX下大名鼎鼎的squid结合NAT来实现透明WEB代理。SQUID代理的性能本身已经是代理服务器中的佼佼者,本系统将其性能发挥的极至：通过ramdisk技术,让SQUID把网页cahce到内存中,这样,你所访问的网页,除了第一次需要到网络上取,以后都将来自内存!下面介绍如何用redhat 7.2来实现的方法和步骤。

(1) 选择一台比较稳定的计算机,装上两块网卡,256或512M内存,硬盘10G
（注意：第一块网卡接内网，第二块网卡接外网。）
(2)安装red hat 7.2,安装时选择服务器模式,自动分区
(3)大概在10-15分中后系统安装完毕,重启后进入系统,开始配置系统

1、编辑/etc/sysctl.conf，将net.ipv4.ip_forward=0 该为net.ipv4.ip_forward=1，保存修改。其目的是允许LINUX内核做IP包的转发：允许IP数据包从一个网络接口穿越到另一个网络接口，只有这样，系统才具有充当包过滤防火墙的条件。
2、修改/etc/grub.conf

#boot=/dev/sda
default=0
timeout=10
splashimage=(hd0,0)/grub/splash.xpm.gz
title Red Hat Linux (2.4.7-10)
root (hd0,0)
kernel /vmlinuz-2.4.7-10 ro root=/dev/sda6 ramdisk=268435
initrd /initrd-2.4.7-10.img

其中ramdisk=268435 是我们要添加的内容，目的是告诉系统默认的 ramdisk的大小是268435k,也就是256M。注意千万不可以直接写256M，这样系统是不认识的，必须要换成K才行！（摸索了好几个月的心得！），这样设好，重新启动后就系统就回自动生成一个256M的虚拟盘了。当然，你要根据自己的内存大小来设置这个参数，如果不运行XWINDOWS，设你总内存的一半都没问题，因为LINUX系统本身并不需要很多内存的。

3、设置squid参数
编辑/etc/squid/squid.conf,在末尾加入以下条目：
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
http_access allow all
cache_dir ufs /squid 256 16 256
前面四条参数使squid提供透明代理提供基础。“http_access allow all”表示允许所有的客户机器都可以访问代理；这里特别强调的是最后一条 “cache_dir ufs /squid 256 16 256”，
squid默认的cache_dir是“/var/spool/squid”，我们因为要让squid将内容cache到内存中，所以这里先改成/squid,接下来要将ramdisk影射到/squid目录中。

4、建立ramdisk。用下面的两条命令来完成：
（1） mkdir /squid 建立目录“/squid”
（2） mkfs /dev/ramdisk 创建文件系统
（3） mount /dev/ramdisk /squid 将ramdisk 挂载到/squid目录，这样，访问/squid目录实际上就是在访问内存。
由于ramdisk在每次重启后会消失，因此，为了让系统启动时自动建立好，我们可以建立一个自动装载ramdisk的批命令：
mkfs /dev/ramdisk
mount /dev/ramdisk /squid
将这两条命令写到一个文件中，我们暂且用myautoexec.bat作为文件名，为了方便起见，我们建立/admin目录，然后将myautoexec.bat文件保存在/admin下，并加给可执行的权限：chmod +x myautoexec.bat
但这样系统启动时并不会被调用，所以我们还要做一件事：编辑/etc/rc.local 文件，在文件末尾插入一行：/admin/myautoexec.bat，这样，系统就会自动调用myautoexec.bat了。
5、初始化squid。还记得“cache_dir ufs /squid 256 16 256”这个参数吗？初始化过程实际上就是squid在指定的cache_dir中建立指定的一级目录（这里是16），然后在每个一级目录中建立256个二级目录。使用的命令是：“squid ?z ”。但现在这时输入命令系统会报告出错，因为/squid现在的属主是root， squid 没有权限操作root的文件，所以还要先把/squid目录指派给squid用户，用“chown squid.squid /squid”。再一次运行“squid ?z ”,不到一秒钟时间就可完成。如果这个过程是在磁盘上而不是在ramdisk上，一般要工作几十秒钟。
同样，这步的设置也要把
Chown squid.squid /squid
Squid ?z
两条命令写到myautoexec.bat中，最后加上一条“squid”,就是启动squid服务进程。到这里，squid的设置全部完成。
6、设置NAT和防火墙规则。
为了方便起见，建立文件/admin/myfirwall,将规则都写到文件中：
#------初始化部分
iptables -F
iptables -t nat -F
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
#――初始化结束
#-START NAT<<<<<让地址为10.3.37.0/24 的内部计算机可以伪装上因特网。
iptables -t nat -A POSTROUTING -o eth1 -s 10.3.37.0/24 -j MASQUERADE
#>>>>>end NAT
#端口转换，将所有发到外网的请求端口为80的都转到3128去,让squid来处理，这一
#--条是透明代理的关键<<<<<<
iptables -t nat -A PREROUTING -i eth0 -d ! 10.27.0.0/16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#>>>>>>>end 端口转换
#防火墙规则<<<<<<< 这里要根据你的要求来定了
iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p ICMP -j DROP
iptables ?A INPUT ?i eth1 ?s 0.0.0.0/0 ?p TCP ?port ! 80 ?j DROP
#以上两条分别是将所有从外网进来的ping包都统统丢弃，将所有由外网发起的非80端口##的请求都统统丢弃，意思就是只不允许从外网向内网发ping ，只允许外网访问内网的http
#服务。完整的防火墙规则要根据你的网络安全要求来制定，这里只做参考。

说明：所有以#开头的行表示说明，不用写入文件，保存为/admin/myfirewall,并用“chmod +x /admin/myfirewall”使其可以执行。编辑/admin/myautoexec.bat,加入“/admin/myfirewall”在最后一行。
到次为止，我们的好性能防火墙全部配置完成，运行reboot 重启后，可以工作了。
2003-12-29 by kinglee

页: [1]

Linux伊甸园论坛's Archiver

高性能linux双效防火墙howto