一種linux防火墻的DMZ的實現(xiàn)方法

hefish

用linux來架設(shè)防火墻，這已經(jīng)不是一個新鮮的話題。事實上使用linux的iptables就能實現(xiàn)近乎專業(yè)級別的防火墻，而且性能絕不亞于一些價格上萬的一些所謂硬件防火墻。但是通過對網(wǎng)上資料的檢索，似乎發(fā)現(xiàn)一個問題，那就是搜索結(jié)果顯示，幾乎所有的資料都采用iptables的端口影射方式來實現(xiàn)DMZ功能。即在linux的公網(wǎng)口綁定許多IP，然后通過映射，將公網(wǎng)的服務(wù)端口映射到內(nèi)網(wǎng)。這在公網(wǎng)地址較少，規(guī)則比較簡單的時候，不失為一個方便而又實用的解決辦法。但是，如果公網(wǎng)口的IP地址數(shù)量比較眾多，這樣做就容易帶來管理上的混亂。

商業(yè)化的防火墻一般有3個口，internet/LAN/DMZ，與上面提到的linux防火墻不同，商業(yè)防火墻的internet口僅綁定一個地址，DMZ區(qū)的機器依舊使用公網(wǎng)IP，這樣方便了管理，也有利于應(yīng)對一些突發(fā)事件（比如防火墻忽然壞了，臨時撤掉防火墻運行一段時間等）。 其實這樣的功能，linux照樣可以實現(xiàn)，只是網(wǎng)上的同學(xué)們都被端口影射充斥了頭腦，忘了除了端口映射，還有更好的實現(xiàn)方式。

要實現(xiàn)我上面所講述的功能，其實只需要linux的一個功能就可以了。那就是Ethernet Bridging。熟悉局域網(wǎng)的同學(xué)肯定對Bridge不陌生，其實說白了就是拿linux機器當交換機用。本來交換機就是Bridge的一個實現(xiàn)。我們可以把linux的internet口和DMZ口配制成Bridge，這樣linux不光是臺linux，還成了一臺交換機。這樣DMZ里面的機器，就可以直接使用公網(wǎng)Ip了。

剩下的問題就是如何對DMZ區(qū)的服務(wù)器進行規(guī)則設(shè)置。這里就需要用到一個工具，這個工具和iptables很類似，名字叫ebtables (Ethernet Bridging Tables) 。在debian下可以用apt-get來輕松的安裝ebtables。ebtables的選項和功能和iptables有很多近似之處，各位同學(xué)可以使用man，或者google來對其進行進一步的了解，研究。在這里本人就不多嘴了。

如果再給ebtables配上一個web界面，然后弄個1U的機箱把主板cpu之類的罩起來，那基本上就是一個完整的硬件防火墻了，貼上一塊標牌，去各大媒體做作廣告，就可以拿去賣了。

skylove

謝謝hefish先生的分享。

事實上，由于網(wǎng)絡(luò)結(jié)構(gòu)的緣故，安全廠家生產(chǎn)的防火墻為了適應(yīng)用戶的需求，一般是直接配制為橋方式的居多一些，因為可以直接插上去就能透明地用，不用修改服務(wù)器ip等等。。。