Linux在校园网中的应用之 ----构建具有状态检测机制的透明模式防火墙 随着互联网的普及，网络的安全越来越受到学校的重视。为了应对日益严峻的网络安全状况，减少外网的攻击，学校不得不花钱购买防火墙。对于经费紧张的学校来说，这是一笔不小的开支。其实，只要网络管理员自己动手，用一台PC机，利用linux系统完全可以制作出一台高性能的防火墙，满足学校的需求。既可以学到大量的知识，也可以为学校节约经费。 为了不改变学校网络结构，本例中把防火墙配置成透明模式（伪网桥），使用时将防火墙直接接在路由器的内部接口和交换机之间就可以让网络正常工作，即使是防火墙有故障不能工作了，要做的仅仅是拔出防火墙的网线，恢复原来的结构，然后再修复它。 下面是制作一个只能让本地用户访问外网，而外网的用户只能访问本地开放的web服务器，不能主动连接内网的其它机器，且将一些常见的病毒端口封闭的最基本的防火墙的步骤。 一、环境搭建 1.硬件配置环境 CPU：PIII及以上，内存256M及以上，硬盘10G及以上，网卡，三块，其中两块网卡支持网桥的实现，另外一块用来作为管理端口实现对防火墙的管理。（如果只有2块网卡，可以把管理端口的IP地址配置在网桥上）。 2.安装系统 首先进行标准的Linux安装，安装过程中基本上不要选择任何应用软件包，因为在该系统上不需要运行任何服务。但是需要安装编译/开发工具，因为我们需要下载编译实现网桥式透明防火墙需要的软件和新内核，开发编译环境在编译完软件后可以删除，这样若系统被攻破则入侵者就不那么容易编译任何程序。 2.1安装redhatas4 安装时，可选择手动分区。交换分区，在内存小于1G的情况下，其容量是内存的一到二倍，大于1G，就给与内存相同的容量，boot分区，100M，其余的全部分给根分区。 选择无防火墙。 定制需要的软件包。除开发工具和文本方式的浏览器外，其余的都不选。并根据自己的网络情况，配置好其中一块网卡的IP地址、网关、DNS服务器地址。保证在后续过程中能够通过此网卡用文本方式下载所需的软件包。 2.2编译定制新内核 安装完成后，以root身份登录系统，执行 #cd/usr/src/kernel进入/usr/src/kernel目录，执行 #wgethttp://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.24.7.tar.gz 下载版本为2.6.24.7的内核源码。 执行tar命令解压缩， #tarzxvflinux-2.6.24.7.tar.gz 将下载的新内核进行解压。 进入解压后的目录： #cdlinux-2.6.24.7 通常要运行的第一个命令是：#makemrproper 该命令确保源代码目录下没有不正确的.o文件以及文件的互相依赖。由于我们使用刚下载的完整的源程序包进行编译，所以本步可以省略。而如果你多次使用了这些源程序编译内核，那么最好要先运行一下这个命令。执行下面命令，编译内核 #makemenuconfig 用空格键进行选取。会发现在每一个选项前都有个括号,但有的是中括号有的是尖括号，还有一种圆括号。用空格键选择时可以发现，中括号里要么是空，要么是"*"，而尖括号里可以是空，"*"和"M"这表示前者对应的项要么不要，要么编译到内核里；后者则多一样选择，可以编译成模块。而圆括号的内容是要你在所提供的几个选项中选择一项。 在编译内核的过程中，最烦杂的事情就是这步配置工作了，很多新手都不清楚到底该如何选取这些选项。实际上在配置时，大部分选项可以使用其缺省值，只有小部分需要根据用户不同的需要选择。在这里我们需要选取Netfilter以及相关的选项。为了保证透明桥的实现，在networking中，选择802.1dEthernetBridging项，将其编译进内核或者编译成模块。 完成配置工作之后，选择退出并保存配置文件。接下来进行新内核的编译安装： 首先执行 #makedep 读取配置过程生成的配置文件，来创建对应于配置的依赖关系树.接下来执行 #makebzImage 实现对内核的编译，然后执行 #makemodules #makemodules_install #makeinstall 分别生成相应的模块和把模块拷贝到需要的目录中。完成后，执行 #vi/etc/grub.conf 将新内核设置为默认启动项。将default改为0. #reboot重启系统 如果出现如下错误提示： enforcingmoderequestedbutnopolicyloaded.haltingnowkernelpanic-notsyncing:Attemptedtokillinit! 则需要编辑文件 #vi/etc/selinux/config 把SELINUX设为di