网络-iptables

Iptables综合实验

实验环境：一台linux，加装3块网卡，做一个防火墙（带有DMZ区域）

          内网有一台电脑，DMZ有一台服务器（架设FTP.WEB.MAIL.）

          在防火墙前端放一个路由，

          外网有DNS服务器，还有一台电脑

实验要求：

用防火墙限制一些连接

1、内网某些主机不让连接外网

2、外网PING内网和防火墙都不通

3、DMZ区的服务器内外网都可以访问

4、内网可以访问外网，外网不可以访问内网

5、将WEB服务发布到外网，让外网用域名连接，内网可以用域名或IP连接WEB

       将WEB服务重定向

6、FTP服务发布到外网，用域名连接

7、允许外网某台电脑连接防火墙，用安全的SHH

8、发布MAIL

实验步骤：

  Vim /etc/sysctl.conf

首先，开启路由功能，然后把IPtables的默认规则全设为拒绝

所以PING就被禁止了。

允许内网的所有主机与外网通信

允许内网PING通防火墙。

不允许内网192.168.1.160与外网通信

允许所有的主机访问DMZ区

配置并开启WEB服务（在DMZ上）

配置并开启FTP服务（在DMZ上）

配置并开启MAIL服务（在DMZ区）

用2003做一个静态路由器，和一个DNS

用防火墙宣告自己的WAN接口，内部的不宣告，等做NAT，保证内网的安全

做NAT地址转换，保证内网安全

服务重定向（端口映射），把内网的192.168.2.150的WEB

允许DNS服务传过防火墙为内网用户解析域名。

服务重定向（端口映射），把内网的FTP映射到外网

服务重定向（端口映射），把内网的MAIL映射到外网

邮件可以在外网使用，用bob和tom之间发送邮件

外网也可以登陆到FTP。

外网也可以登陆到WEB。

重定向22号端口，使SSH可以使用被外网连接

以上两条为允许222.222.222.160用SSH连接，其余的IP禁止

注意FORWARD的前三条规则，因为防火墙执行规则是从上到下的一个顺序，所以规则就有了优先级的特点，拒绝的某一条规则，一定要放在前面，以免禁止不到那条规则