当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 用iptables构建DMZ防火墙

Unix/Linux
linux查看内存的大小
在linux下写的代码,用的是utf-8,结果拿到XP下运行的时候,所有的中文都成乱码
linux su和sudo命令的区别
linux cron 下的定时执行工具使用技巧
linux 查找进程及终止进程操作的相关命令
redhat linux 安装 gcc编译器
Linux Mplayer播放各种格式的电影
一起回顾一下linux常用命令
Linux 网站项目发布要做哪些配置
linux SSH配合SecureCRT的密匙完美使用方法
GD 编译出错解决方法
Facebook Open Platform编译FAQ
Linux 系统硬盘 优化
linux 挂载详解
linux crontab定时命令
Linux 系统中确保访问三级域名畅通的方法
Linux 特权帐号VS普通帐号
确保Linux系统安全的前提条件 漏洞防护
Linux 监视系统资源使用率
Red Hat Linux上使用BIND建立DNS服务器

Unix/Linux 中的 用iptables构建DMZ防火墙


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 190 ::
收藏到网摘: n/a


用iptables构建DMZ防火墙
zt ---http://www.nsfocus.net/index.php?act=magazine&do=view&mid=1129
用iptables构建DMZ防火墙
一般被保护的内部网络可分成两部分,一部分是内部通讯区,只允许内部用户访问,绝对禁止外部用户访问,另一部分是停火区DMZ,对外提供有条件的服务。前者是系统的核心子网,后者易受到外部的攻击,是一个比较危险的子网环境。一方面要求严格保护内部子网,另一方面又要满足DMZ对外提供服务的需要,因此,必须采用分别保护的策略,对上述两个区域进行保护。两个区域要尽量独立,即使DMZ受到外部攻击,内部子网仍处于防火墙的保护之下。 本文介绍利用Linux的iptables工具来建立一个具有DMZ的防火墙。 一、软硬件要求 充当防火墙的机器是一台支持iptables的Linux系统,装有三个网卡。 二、具体配置 步骤1:配置内核 netfilter要求Linux内核版本不低于2.3.5,在编译新内核时,要求选择和netfilter相关的项目,这些项目通常都是位于“Networking options”子项下。 步骤2:环境构造 这里给出一个用于测试的例子,实际应用可根据具体的情况进行设置。 对外提供服务的内部主机构成一个停火区(假设分配的网段为192.168.1.0/24),防火墙的两个网卡eth1、eth2分别通过hub1、hub2与停火区、内部通讯区相连,另一个网卡eth0通过直连线(或hub)与路由器的网卡eth1相连,路由器的另一网卡eth0通过一个hub与外部通讯区相连。如图所示。 路由器增加以下设置: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.9.200.2 arp -i eth1 -Ds 192.168.1.1 eth1 pub 防火墙的设置为: route add default gw 192.168.1.1 route add -host 192.168.1.1 gw 192.168.1.2 route add -net 192.169.1.0 netmask 255.255.255.0 gw 192.168.1.3 eth1 停火区主机的网关设为防火墙的网卡eth1地址192.168.1.3。 外部主机的网关设为路由器的外网卡eth0地址10.0.0.1。 内部主机的网关设为路由器的内网卡eth2地址168.1.1.1。 步骤3:建立规则 在防火墙上创建如下脚本并运行之。 #!/bin/sh ######## default firewall rules-deny all ######## iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ############################################### # Rules between EXTERNAL LAN and INTERNAL LAN # ############################################### ######## masquerade INTERNAL Address to xx.xx.xx.xx when going out ######## iptables -t nat -A POSTROUTING -s 168.1.1.0/24 -d 10.0.0.0/24 -o eth0 -j SNAT --to xx.xx.xx.xx ######## deny all from EXTERNAL LAN to INTERNAL LAN directly ######## iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 168.1.1.0/24 -i eth0 -j DROP ###################################### # Rules between DMZ and INTERNAL LAN # ###################################### ######## allow INTERNAL LAN to DMZ ######## iptables -A FORWARD -p icmp -s 168.1.1.0/24 -d 192.168.1.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT iptables -A FORWARD -s 168.1.1.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT ######## forbid DMZ to INTERNAL LAN except following instance ######## iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 168.1.1.0/24 ! --syn -i eth1 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.1.0/24 --sport 20 -d 168.1.1.0/24 -i eth1 -j ACCEPT iptables -A FORWARD -p icmp --icmp-type 0 -s 192.168.1.0/24 -d 168.1.1.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 168.1.1.0/24 --sport 53 -j ACCEPT ###################################### # Rules between EXTERNAL LAN and DMZ # ###################################### ### allow EXTERNAL LAN to DMZ but deny all from EXTERNAL LAN to DMZ directly ### iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 192.168.1.0/24 -i eth0 -j DROP ### REAL_XX is real address of XX server in DMZ ### ### MASQ_XX is the masquaded address of REAL_XX supplied to EXTERNAL LAN ### ######## allow DNS service ######## iptables -t nat -A PREROUTING -p udp -d MASQ_DNS -s 10.0.0.0/24 --dport 53 -i eth0 -j DNAT --to REAL_DNS iptables -A FORWARD -p udp -s 10.0.0.0/24 -d REAL_DNS -i eth0 --dport 53 -j ACCEPT iptables -A FORWARD -p udp -d 10.0.0.0/24 -s REAL_DNS -i eth1--sport 53 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d MASQ_DNS -s 10.0.0.0/24 --dport 53 -i eth0 -j DNAT --to REAL_DNS iptables -A FORWARD -p tcp -s 10.0.0.0/24 -d REAL_DNS -i eth0 --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -d 10.0.0.0/24