我們現(xiàn)在看如何配置一臺主機作為透明接入模式的防火墻(透明接入的防火墻不需要IP),

如圖5所示,一臺防火墻連接內(nèi)部網(wǎng)段和DMZ網(wǎng)段到外部路由.我們在這臺用作防火墻的主機上使用linux操作系統(tǒng),這樣我們可以方便的使用iptables防火墻.假設三塊網(wǎng)卡為eth0,eth1和eth2,eth0和路由器相連,eth1和內(nèi)網(wǎng)相連.eth2和外網(wǎng)相連.假設DMZ區(qū)有2臺服務器.

內(nèi)網(wǎng)地址:192.168.1.0/24
DMZ地址:192.168.1.2---192.168.1.3
路由器的ip地址:192.168.1.1
eth0:AA:AA:AA:AA:AA:AA
eth1:BB:BB:BB:BB:BB:BB
eth2:CC:CC:CC:CC:CC:CC

和前面差不多,第一步需要實現(xiàn)ARP欺騙,這次我們有個簡單的實現(xiàn).我們把路由器的IP地址和防火墻的eth1和eth2的網(wǎng)卡物理地址綁定,將內(nèi)網(wǎng)和DMZ網(wǎng)段的IP地址和eth0的網(wǎng)卡綁定,在linux系統(tǒng)上我們用arp命令實現(xiàn):

arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB
arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC
arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA

第二部我們需要在基于linux的防火墻上設置路由,把目標地址是外部路由的包轉(zhuǎn)發(fā)到eth0,把目標地址為內(nèi)網(wǎng)的包轉(zhuǎn)發(fā)到eth1,把目標地址是DMZ網(wǎng)段服務器的包轉(zhuǎn)發(fā)到eth2.在linux下面用route命令實現(xiàn)

route add 192.168.1.1 dev eth0
route add -net 192.168.1.0/24　dev eth1
route add 192.168.1.2　dev eth2
route add 192.168.1.3　dev eth3

(針對DMZ網(wǎng)段里面的每臺服務器都要增加一條單獨的路由) 現(xiàn)在我們就已經(jīng)實現(xiàn)了一個簡單的arp代理的透明接入,當然對應于防火墻的iptables部分要另外配置,iptables的配置不在本文范疇之內(nèi).

小結

本文介紹了ARP協(xié)議以及與其相關的安全問題 。一個重要的安全問題就是ARP欺騙，我們講到了同一網(wǎng)段的ARP欺騙以及跨網(wǎng)段的ARP欺騙和ICMP重定向相結合的方法 。由于有這些安全問題的存在，我們給出一些最基本的解決辦法 。最后談到了利用代理ARP實現(xiàn)在交換網(wǎng)絡中嗅探和防火墻的透明接入 。

推薦閱讀

• 

  睡衣怎么曬干都有霉味 衣服曬干有股霉味什么情況
• 

  鐵棍山藥怎樣保存時間長，鐵棍山藥怎么儲藏能時間長
• 

  玉米為什么出苗不好
• 

  水菖蒲的功效與作用：陰虛陽亢,精滑者慎服，水菖蒲的功效與作用？
• 

  法律規(guī)定工傷認定時限有多久 法律規(guī)定工傷認定時限有多久的
• 

  麥石鍋生銹了還能用嗎
• 

  藍星玻璃水多少錢?
• 

  唱歌混音是什么意思
• 

  一汽凌河和一汽的關系
• 

  天花板的種類有哪些
• 

  2022年寒衣節(jié)必須點蠟燭嗎
• 

  新顯卡分屏怎么設置
• 

  粘木頭的膠水有哪些
• 

  成都長沙房價為什么便宜，成都跟長沙哪個房價貴
• 

  養(yǎng)錦鯉配什么魚清理糞便,錦鯉的糞便什么魚吃
• 

  花貴賓犬多少錢一只,貴賓犬多少一只

• 新的寬帶認證方式——IEEE 802.1x協(xié)議
• IEEE 802.11協(xié)議家族a/b/g--無線網(wǎng)背景知識
• EIGRP路由協(xié)議綜述
• 配置局域網(wǎng)中的通訊協(xié)議
• 網(wǎng)絡協(xié)議基礎知識 SMTP協(xié)議和UDP協(xié)議
• 正確配置路由協(xié)議 合理使用資源
• EOS的封裝協(xié)議
• 對BitTorrent通信協(xié)議的分析與檢測
• 路由協(xié)議-OSPF路由協(xié)議
• 完美測試TCP/IP協(xié)議簡介