每天LINUX学习:如何配置透明防火墙

透明防火墙（Transparent Firewall）是一种特殊类型的防火墙，其核心特点是：工作在数据链路层（OSI 第二层），对网络拓扑和用户透明，无需修改现有网络配置即可部署。

以下是其主要作用和应用场景：

1. 隐蔽性防护

透明防火墙不依赖IP地址，自身在网络中不可见（无三层地址），攻击者难以直接定位或攻击防火墙本身，提升了整体安全性。

2. 无缝部署

无需调整现有网络结构、IP地址或路由规则，直接以“桥接模式”接入网络，适用于复杂或敏感的网络环境（如企业内网、数据中心）。

3. 二层流量控制

基于MAC地址、VLAN、端口等二层信息过滤流量，可阻止ARP欺骗、MAC泛洪等二层攻击，同时支持传统防火墙的访问控制策略（如ACL）。

4. 深度内容检测

尽管工作在二层，仍可执行深度包检测（DPI）、应用层协议分析（如HTTP、FTP）、入侵防御（IPS）及恶意软件拦截，提供类似下一代防火墙（NGFW）的高级功能。

5.网络分段与隔离

- 在不改变网络架构的前提下，实现不同区域（如部门、业务系统）的逻辑隔离，限制横向流量，符合最小权限原则。

LINUX下透明防火墙方案（写的非常简单仅供抛砖引玉）：

#!/bin/bash

# ==== 网络桥接配置 ====

# 创建网桥并绑定物理接口（二层透明模式）

brctl addbr br1 # 创建虚拟网桥

brctl stp br1 on # 开启生成树协议防环

brctl addif br1 eno2 # 添加物理接口 eno2 到网桥

brctl addif br1 eno4 # 添加物理接口 eno4 到网桥

# 清空物理接口IP并激活（纯二层转发）

ip addr flush dev eno2

ip addr flush dev eno4

ip link set dev eno2 up

ip link set dev eno4 up

# 激活网桥设备（关键步骤）

ip link set dev br1 up

# ====系统环境配置 ====

systemctl stop firewalld # 关闭系统防火墙（避免规则冲突）

setenforce 0 # 关闭SELinux

echo 1 >
/proc/sys/net/ipv4/ip_forward # 开启IP转发

sysctl -w
net.bridge.bridge-nf-call-iptables=1 # 允许网桥流量经过iptables

# 加载内核模块

modprobe 8021q # VLAN支持

modprobe br_netfilter # 网桥Netfilter支持

modprobe nf_conntrack # 连接跟踪模块

#====iptables规则配置 ====

# 清空现有规则

iptables -F

iptables -t nat -F

iptables -X

# 定义自定义规则链

iptables -N FORWARD_FW # 主转发处理链

iptables -N OUTBOUND_FILTER # 出站过滤链

iptables -N INBOUND_FILTER # 入站过滤链（可扩展）

# 主转发规则

iptables -A FORWARD -j FORWARD_FW # 所有转发流量进入主处理链

# 物理接口方向匹配规则（关键！）

iptables -A FORWARD_FW -m physdev --physdev-in eno2 --physdev-out eno4 -j OUTBOUND_FILTER

iptables -A FORWARD_FW -m physdev --physdev-in eno4 --physdev-out eno2 -j INBOUND_FILTER

# ====出站过滤规则（eno2->eno4方向） ====

# 允许指定IP段访问Web服务

iptables -A OUTBOUND_FILTER -m iprange --src-range 10.151.0.200-10.151.0.253 \

-m multiport --dports 80,443,6000:9999 \

-m conntrack --ctstate NEW,ESTABLISHED \

-j ACCEPT

#可以自己扩充规则

#.....

#可以自己扩充规则

# 默认拒绝策略（记录日志）

iptables -A OUTBOUND_FILTER -j LOG --log-prefix "[FW-DENY-OUT] "

iptables -A OUTBOUND_FILTER -j REJECT

# ==== 入站过滤规则（eno4->eno2方向，示例） ====

iptables -A INBOUND_FILTER -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INBOUND_FILTER -j LOG --log-prefix "[FW-DENY-IN] "

iptables -A INBOUND_FILTER -j DROP

#可以自己扩充规则

#.....

#可以自己扩充规则

# ====其他配置 ====

# 保存配置（需安装iptables-persistent）

# iptables-save > /etc/iptables/rules.v4

#你知道防火墙都有哪些重要功能吗?#