谢 辉

（福建省闽北职业技术学院，福建 南平 353000）

1 互联网通信原则

在构建Linux下透明模式防火墙之前，需要了解网页信息传输的基本流程和网页代码解析的过程。目前常见的B/S结构主要以客户端浏览器为主进行分析，用户使用浏览器登录网页界面时，需要从浏览器的端口录入网址，完成对url的请求，然后借助DNS服务器的帮助来解析服务器的域名，根据解析的结构有针对性的设计访问页面。对于不同的浏览器要选择合适的服务器来进行HTTP指令的传输，服务器集合收到的HTTP相关信息结合浏览器的url指令实现打开对应目标文件。目标文件一般会用网页地址的表现形式出现，Web服务器可以根据实际情况来提供相应的参数，然后完成数据库文件资源的调动工作，最终完成HTML的任务。在收到任务的时候服务器会在第一时间根据客户端阅览器的协议内容把HTML内的文件传输到浏览器中，浏览器收到文件之后就会马上进行处理，根据处理分析的情况对服务器中的链接资源文件（内嵌网页，CSS，多媒体资源，JavaScript等）进行请求指令输送。服务器可以根据HTTP请求的结果配对相关的资源文件，然后利用网络配送的方式传输到客户端的浏览器上。浏览器在收到资源文件之后，会对其进行分类，结合规则将其展示在Web界面之中，并会根据资源文件的所属媒体形式进行便于展示的重新排版，HTML的文档会根据对应的页面脚本进行一定的分析处理，结合解释说明的脚本代码，在执行脚本期间做好阻塞链接文件的加载工作，在此基础之上利用地址转换协议才能使得Linux下防火墙透明模式的构建生效。

2 数据收发原则

网络数据接口收发数据信息需要遵循的相关规则主要有两点，分别是只接受MAC地址的数据链路层传输方式和接收IP地址信息的网络层传输方式。

2.1 MAC

MAC地址包括本网络接口MAC地址、广播地址的以太网帧等。在防火墙的透明模式下，只能接收目的MAC地址信息，对于未知目的MAC地址的IP报文，防火墙直接丢弃不予处理。

2.2 IP

IP地址主要负责处理和IP数据有关的信息，在处理的过程中需要先收集Internet层上的数据信息，将本地留存的IP地址信息上传于本地上的应用程序，以实现信息数据的分析处理工作。在处理的过程中先了解本机路由器的信息，以便当对应的IP信息数据地址不是本地信息传输地址的例外情况，然后根据网络端口的类型，选择最符合实际情况的路由信息和IP信息，将其合理转换为能够使用的网络信息发送至特定的网络端口，顺利实现IP数据信息情报的可接受性。当IP数据信息情报无法满足现有的条件时，该信息数据会被舍弃。

3 ARP协议

首先，根据目标IP与本机IP进行与运算，判断是否为同一网段，如果是同一网段，则发起ARP广播请求信息，网段内某台主机通过这个ARP请求，发现自己IP对应MAC地址符合请求信息，则在自己ARP表中添加请求方的源IP和MAC地址信息，同时将自己MAC地址附加在应答帧发回给请求方主机，其他主机则忽略ARP请求。请求方主机收到应答信息后，会更新ARP表，此时目标主机的IP和MAC信息成功添加到ARP表项，实现正常收发信息。如果此时经过判断，双方主机并不在同一网段，不能使用直接传输的方式完成数据信息的网络端传送，这个时候还可以借助网关转发，把接收方的信息转交给同接收方相匹配的端口，然后根据实际情况在ARP Cache中搜索发送方的数据信息，再将主机系统（局域网网关）的IP信息地址和MAC地址绑定在一起，把包含MAC地址的IP数据信息传送到情报帧中。当ARP Cache内部不存在能同主机系统（局域网网关）的IP 信息地址绑定的内容，这个时候会根据实际情况生成ARP请求，ARP请求的内容主要由信息请求方MAC地址、IP地址等组成。ARP请求之后会得出局域网相关的广播帧，当局域网网关或者是主机接收到搜索MAC地址的问询后，这时可以在ARP Cache中获得相关的MAC和IP地址内容，并将其绑定在自己的ARP Cache中。信息发送方会在ARP中得到应答，然后明确自己的MAC地址，这个过程可以从信息发送方的网络信息接口顺利接收。

最后当信息发送方试图获取路由器接口的MAC地址时，会在局域网中判定路由器的位置，这个时候信息的传输方会自动向ARP请求广播询问路由器的地址，路由器本身没有办法直接接受ARP的请求，由于防火墙的存在，防火墙即便能够接收到信号，也不会根据请求的内容作出适当的回应，这样使得广播帧无法顺利形成，进而无法顺利实现信息数据的有效传递。为了保证网络信息通信正常，防止透明方式设置防火墙对原有的网络通信产生影响，减少ARP的协议失效，必须采取相应的手段，主要以ARP代理（proxyARP）技术和使用桥（bridge）技术为主。

4 实施改进方法

4.1 ARP代理方式

ARP代理方式主要指在网络上利用一台主机代替其他主机，对ARP发出的请求作出相应的回答，当信息传输方将内容经由局域网网关或是主机系统发送ARP请求，根据路由器接收MAC指令时，防火墙可以顺利做出应答，此时防火墙就完成了ARP的代理方式。在使用ARP代理方法完成Linux下防火墙透明模式的时候，需要注意代理配置的方法。在代理工作进行时，要先添加防火墙的ARP代理，然后根据实际情况从ethl中接收，之后添加到主机的MAC地址中，代替eth0作出相应的回应。从eth0接收到ARP请求询问路由器MAC地址时，代替路由器用eth0的MAC地址作出回应。ARP代理配置可以更好的代替原有的路由器工作，又能实现无障碍传输数据。基于此，需要在预设好的防火墙之上预设相关的路由信息，保证防火墙能够正确接收IP信息数据，这样就完成了信息传输的全过程，有效减少延迟时间。

4.2 桥方式透明模式

网桥技术方式同ARP代理方式有很大的不同，网桥技术解决ARP失效问题，并不需要完成ARP的代理应答和维护复杂的路由信息数据。在搭建网络接口层时，借助网桥将以太网帧中含有的MAC地址的帧传送至比较合适的网络。桥接器能够有效将各个网络接口纳入桥接器的端口，成功封装至同一个伪设备中，形成一个统一的网桥，整体的作用和路由表保持一致。路由模块的内容会结合路由表的信息顺利实现IP地址中数据内容的配对，顺利经由网络端口完成传输。整个网桥技术的完成需要桥接器内含的表格信息数据，在传输信息的时候可以把MAC地址和以太网匹配在一起。通过实践发现，利用网桥技术既能更好的完成防火墙透明模式搭建工作，又能减少信息传输缓慢的情况发生，最终在保证信息传输效率的基础上，提高整个网络的传输效率和安全性。

5 结束语

Linux下防火墙透明模式的搭建，首先要明确互联网信息传输检索的基本原理，并根据现实网络信息内容传递之间遇到的问题，作出相应的技术方案设计。通过选择ARP代理方式或者桥方式透明模式，并根据实际情况，完成Linux下防火墙透明模式搭建工作。