当前位置：技术首页 >> 系统 >> Linux/Unix >> 实用技巧 >> 用Linux实现路由器和包过滤防火墙

用Linux实现路由器和包过滤防火墙 (1)

2006-12-12 21:36:31 作者：admin 来源：赛迪网浏览次数：332 文字大小：【大】【中】【小】

关键字：Linux

路由器和防火墙

路由器是一种广泛运用在IP网段之间的设备，市场上有许多现成的产品。在应用中，我们经常将路由器跨接在广域网和局域网之间，大多数的路由器产品也就是基于这种需要来设计的。但是随着用户IP网络的扩展，我们需要一种能够在多个以太网络之间进行寻址的路由器，传统的路由器产品中偶尔有几款双以太网络接口的，但是这样的产品价格尤其昂贵，而且要是支持快速以太网络应用的话价格将是天文数字；第三层交换机可以实现这样的功能，但是第三层交换机也不是便宜的家伙。

路由器工作的时候，根据它的某个端口收到的数据包的目的IP地址，查询路由器自己的路由表，然后决定将数据包转发到相应的端口。路由器的路由表有几种：一种是根据路由器自己的每个端口IP地址和子网掩码计算出来的路由，这种路由叫做“固定路由”；第二种是有系统管理员种设置的到某个子网需要通过某个下一级路由器的路由，这种叫“静态路由”；还有就是在网络环境中让每个路由器都把自己的路由信息广播出去，让路由器之间进行互相学习，这样学到的路由就叫做“动态路由”。路由器还会把目的地址不在自己路由表中的数据包固定转发给一个预先设定IP地址，这样的路由设置又叫“默认路由”。在路由匹配的过程中，一般有这样的优先级：固定路由>静态路由>动态路由>默认路由。

路由器只会查看IP数据包的目的地址，也就是说原则上它是“照单全收”，而且全部转发，除非真的发不出去了。如果让路由器在转发数据包的时候，加一项检查，检查数据包的来源和数据包要求的应用层服务类型，根据预先设计的规则来判定这个数据包是应该转发还是作别的处理，这样这个路由器就不再是一个单纯意义上的路由器，而是一种类型的防火墙——包过滤防火墙。

包过滤防火墙可以检查数据包的来源、源端口、目的地址、目的端口，使用的传输层协议类型等项目，根据检查的项目的内容来匹配一个规则表，当符合规则表中的定义的时候，就执行规则表事先定义的操作。一般来说，规则表可以定义这样的操作：ACCEPT（通过）、NAT（MASQ地址转换）、DENY（丢弃）、REJECT（拒绝，同时回送‘不可用’消息给源端）。

当然目前市场上也能买到支持包过滤防火墙的现成产品，但是价格问题还是我们不得不考虑的重要因素。尤其大多数产品都有许多许可证、性能等方面的限制。

Linux操作系统应运IP网络而生，除了Linux价格上的优势之外，更吸引人的是它内建的强大的网络功能，除了做各种Internet上的应用服务之外，Linux还提供了完整的路由器功能和防火墙功能。而它所带来的系统造价和功能的比例是相当诱人的，为什么不一试呢？

Linux系统的准备

相对于现成的路由器产品，我们把这样的路由器称为“软路由器”，当然这样做出来的路由器性能绝对不会比“硬件路由器”的性能差，我们只要明白比如很多“25××”系列的路由器才只是采用25M主频的摩托罗拉68030CPU（性能相当于Intel 80386）我们就知道了。

用来做“软件路由器”的Linux系统主机硬件配置要求并不是太高，用作三五个局域网之间的路由选择，数百台计算机的话，选用奔腾133以上的主机就足够了，当然现在的市场上赛杨2或者奔腾4或者其他的CPU也不是很贵；配置64M内存，有条件的话可以配置到128M也无所谓；硬盘就不要太大了，否则也是浪费.

关键在于网络适配器的配置，Linux系统支持大多数市场上能见到的以太网络适配器，PCI卡的安装比较简单，只要内核支持，在开机的时候有多少卡都会被系统正确的识别出来。下面是我在实际使用过的能够正常工作的网卡：

★Intel EtherExpress Pro PCI100M

★RealTek 8029/8139 PCI 10M/100M

★D-link 系列（使用Tulip 2114X驱动） PCI 10M

★ACCTON EN1207 （使用Tulip 2114X驱动） PCI 100M

★3COM全系列（PCI/ISA 10M/100M）

★AMD PC－NET 32 PCI 10M