随心订制linux透明防火墙

　　DEVICE=eth0

　　BOOTPROTO=none

　　BROADCAST=192.168.1.255

　　IPADDR=192.168.1.254

　　NETMASK=255.255.255.0

　　NETWORK=192.168.1.0

　　ONBOOT=yes

　　USERCTL=no

　　PEERDNS=no

　　TYPE=Ethernet DEVICE=eth1

　　BOOTPROTO=none

　　BROADCAST=192.168.1.255

　　IPADDR=192.168.1.254

　　NETMASK=255.255.255.0

　　NETWORK=192.168.1.0

　　ONBOOT=yes

　　USERCTL=no

　　PEERDNS=no

　　TYPE=Ethernet

　　这里需要注意两个地方，第一个是要区分清楚那一个网卡是eth0，那一个是 eth1.这个问题十分关键，如果搞混了就会导致防火墙不能连通网络。至于怎样区分eth0和 eth1，我将在文章的末尾作简单的描述。在这里假定与路由器相连的网卡是eth0.

　　2、设置默认路由。在文件 /etc/sysconfig/network-scripts/ifcfg-eth0 中加入一行 gateway=192.168.1.1 保存后运行命令 service network restart ，修改生效。找一个开放ICMP协议的公网IP，用命令ping 202.108.36.196 （www.163.com 的主机）检测跟外网的连通状况，如果正常，表明Linux防火墙主机跟外网配置正确。再用命令ping 192.168.1.18 检测防火墙主机与内网主机的连通状况，如果正常则进行下一步操作。

　　3、启用网络转发和proxy_arp 。这是透明防火墙的核心部分，我把它们写进文件/etc/rc.d/rc.local。用vi /etc/rc.d/rc.local 插入如下内容。

　　#Ip forward

　　/sbin/sysctl -w net.ipv4.conf.all.forwarding=1

　　#Enable proxy-arp

　　/sbin/sysctl -w net.ipv4.conf.eth0.proxy_arp=1

　　/sbin/sysctl -w net.ipv4.conf.eth1.proxy_arp=1