发布DMZ
内部的服务器,能够使INTERNET
客户机访问DMZ
内的邮件服务、网站、FTP
,等服务器,使内部的主机能够连接到INTERNET
发送外网邮件;拒绝不正常的连接和黑客的攻击。
二
、主机配置:
具体的配置文件:
主机名:iptables.bdqn.com
/etc/hosts
/etc/sysconfig/network
内部接口:eth0 IP 192.168.10.2/24
/etc/sysconfig/network-scripts/ifcfg-eth0
公共接口:eth1 IP 202.202.202.100/24
/etc/sysconfig/network-scripts/ifcfg-eth1
三
、IPTABLES
防火墙的具体配置
安装iptables
的软件包,RedHat
系统已经默认安装
具体的配置规则如下:
首先打开内核的转发功能:echo “echo 1 > /proc/sys/net/ipv4/ip_forward”> /etc/rc.d/rc/local
iptables -F 清空 此表中的规则
iptables -X 清空 此表中的自定义规则
iptables -Z 清空 此表中的计数器为0
Netfilter
表的配置
:
1.
iptables –P INPUT DROP
2.
iiptables –P OUTPUT DROP
3.
iptables –P FORWARD ACCEPT
4.
Iptables –A –p icmp –i eth1 –j DROP
5. iptables -A -INPUT -m limit --limit 3/minute --limit-burst 3
-j LOG --log-level INFO --log-prefix "IP INPUT packr\et died:"
6.
iptables -A -FORWARD -m limit --limit 3/minute --limit-burst 3
-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"
7.
iptables -A -OUTPUT -m limit --limit 3/minute --limit-burst 3
-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"
Nat
表的配置
:
1. iptables
-t nat –P OUTPUT DROP
2. iptables
-t nat –P PREROUTING DROP
3. iptables
-t nat –P POSTROUTING DROP
4. iptables
-t nat –A POSTROUTING –o eth1 –s 192.168.10.0/24 –j SNAT --to 202.202.202.100
#转换 192.168.10.0 网段的地址到 公网地址接口
5. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 80 –j DNAT
--to 192.168.10.5:80
#转换外部请求的www服务到 192.168.10.5这台www服务器上
6. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 25 –j DNAT
--to 192.168.10.4:25
#转换外部请求的smtp服务到192.168.10.4这个mail服务器上
7. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 110 –j DNAT
--to 192.168.10.4:110
#转换外部请求的pop3服务到192.168.10.4这个mail服务器上
8. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 20 –j DNAT
--to 192.168.10.52:20
#转换外部请求FTP数据端口20服务到192.168.10.52这个服务器上
9. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 21 –j DNAT
--to 192.168.10.5:21
#转换外部请求FTP控制口21服务到192.168.10.52这个服务器上
10. iptables
-t nat –A
PREROUTING
-i eth1 –p udp –dport 53 –j DNAT
--to 192.168.10.3:53
#转换外部请求DNS udp端口53服务到192.168.10.3这个服务器上
11. iptables
-t nat –A
PREROUTING
-i eth1 –p tcp –dport 53 –j DNAT
--to 192.168.10.3:53
#转换外部请求DNS tcp端口53服务到192.168.10.3这个服务器上
Mangle
表的配置
1. iptables –t mangle –P INPUT DROP
2. iptables –t mangle –P OUTPUT DROP
3. iptables –t mangle –P FORWARD ACCEPT
4. iptables –t mangle –P PREROUTING DROP
5. iptables –t mangle –P POSTROUTING DROP
配置后保存配置:
iptables-save > /etc/sysconfig/iptables
恢复配置:
iptables-restore < /etc/sysconfig/iptables
防火墙配置完毕