如何配置防火墙规则更合理？

ahsiao

一台防火墙，双网卡。外网地址为192.168.37.1,内网地址为10.0.0.0/24。现在经理要求：少部分用户可以毫无限制的上网，大部分用户只能收发电子邮件（80端口也封杀），其余服务全部关闭。

请问各位，封杀80端口会不会影响收发电子邮件（25，110，443）？我准备把10.0.0.0/24分成四个子网10.0.0.0/192,
10.0.0.64/192,        10.0.0.128/192,          10.0.0.192/192。把完全放开服务的放到10.0.0.0/192子网，其他子网只开放电子邮件服务。请问是否可行？代理服务器上是否还要做相应设置？

iamshiyu

封80不会影响其他端口服务，不过建议是默认全部封闭，只允许某些IP或者端口上网。可以考虑绑定ip和mac（用arp功能）

ahsiao

谢谢楼上。实施后有点小问题，10.0.0.0/24都开放25、53、80、110端口后，10.0.0.0/26子网访问特定网站比如www.abc.com可以通过透明防火墙代理出去，没有什么问题。但10.0.0.64/26子网好像查询不到DNS。不知道为什么？
ipt -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.37.1
ipt -t nat -A PREROUTING -s 10.0.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

这么写10.0.0.64/26子网的请求也走外网接口的3128端口，没问题。但DNS转发这么写却不可以：
ipt -t nat -A PREROUTING -s 10.0.0.0/24 -i eth1 -p udp --dport 53 -j DNAT --to 192.168.1.33

现象是10.0.0.0/26子网可以正常上网，10.0.0.64/26无法获取DNS，nslookup命令提示连接DNS超时。怎么会这样？高手有什么建议？先谢过。。

ssffzz1

子网划分有问题吧10.0.0.0/24已经包含了10.0.0.0/26的全部条目。

ahsiao

原帖由 ssffzz1 于 2007-7-18 19:14 发表
子网划分有问题吧10.0.0.0/24已经包含了10.0.0.0/26的全部条目。

呵呵，10.0.0.0/24包含10.0.0.0/26和10.0.0.64/26没错，要的就是这个。DNS现在也可以转发了。但限制10.0.0.64/26只能上www.abc.com，不能上其他网却失败。下面是部分代码（INPUT,FORWARD链默认策略均为DROP,OUTPUT链默认ACCEPT）：

。。。。。。
$IPT -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.37.1
$IPT -t nat -A PREROUTING -s 10.0.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -p udp -s 10.0.0.0/23 --dport 53 -j DNAT --to 192.168.1.33

$IPT -A INPUT -i eth1 -s 10.0.0.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 25 -j ACCEPT
$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT
$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 53 -j ACCEPT
$IPT -A FORWARD -p tcp -s 10.0.0.0/24--dport 443 -j ACCEPT

$IPT -A FORWARD -d www.abc.com -j ACCEPT
$IPT -A FORWARD -s 10.0.0.64/26 -j DROP
。。。。。。

我试了一下，如果黑体脚本放到SNAT前，则10.0.0.64/26子网找不到DNS服务器；如果放到当前的位置，则子网10.0.0.64/26上网便没有限制了，没有起到限制上网的作用。请问高手有什么解决办法？

[ 本帖最后由 ahsiao 于 2007-7-19 14:32 编辑 ]

ahsiao

顶一下。。。。。。。。。。。。。。。。。

springwind426

理解有问题，写访问控制，如果某个IP段包含另外的IP段的时候，要相当慎重，必须首先要将范围小的IP段设置好了，才进行范围大的IP段的访问控制的设置

如果先导向到代理服务器上了（用的是透明代理），那么后面关于80端口的forward链的所有设置都是无效的（已经转到本机的3128端口了）

ahsiao

谢谢。是的。像这种情况应该怎么写？如果放到前面，DNS有问题，放到后面，DNS倒没问题了，限制又没了。不知道该怎么做了。高手能否指点一下。

ahsiao

可能是我没说清楚，简单说是这样的：
一个LAN 10.0.0.0/24，现在要求10.0.0.0/26可以上任何网站，10.0.0.64/26只能上www.abc.com。我做了透明代理，不是10.0.0.64/26上不了任何网站，就是10.0.0.64/26 可以毫无限制的上网。 怎么做到10.0.0.64只能上特定的某个网站？ 因为我发现只要做了LAN80端口镜像到外网接口3128端口，开了53端口后就可以毫无限制的上网了。怎么解决这个问题啊？

ahsiao

有人吗？？？？？？？