- 论坛徽章:
- 0
|
设计方案:
主机 A: 网关 (防火墙)
主机 B: Web 服务器
主机 C: 邮件服务器
主机 D: 数据库服务器
主机 E: 远程登录服务器 (SSH)
主机 F: 文件服务器 (开发)
终端 X: 工作站
终端 Y: 工作站
终端 Z: 工作站
应该考虑安全性, DMZ,...。
终端机器能够通过80,443端口访问internet.
主机B-F可以做任何事情.
给出主机A上防火墙iptable的简单设置。
根据需求分析,主机A需配三块NIC,其余服务器网卡数量没有特殊要求,现规划如下:
主机 A: 网关 (防火墙)
eth0:直接接入到公网;
eth1:IP地址为:10.10.0.254/24,与服务器所处同一网络;
eth2:IP地址为:192.168.0.254/24,与服务器所处同一网络;
主机 B: Web 服务器IP地址为:192.168.0.1/24;
主机 C: 邮件服务器IP地址为:192.168.0.2/24;
主机 D: 数据库服务器IP地址为:192.168.0.3/24;
主机 E: 远程登录服务器 (SSH) IP地址为:192.168.0.4/24;
主机 F: 文件服务器 (开发)IP地址为:192.168.0.5/24;
主机B、C、D、E、F所处DMZ区,客户机所处内网
拓扑如图所示:
现主机A既防火墙配置如下:
一、
首先将主机A设置为网关
1、
将主机A的eth0与Internet相连;
2、
将主机A的eth1接口IP设置为10.10.0.254/24;
3、
将主机A的eth2接口IP设置为192.168.0.254/24;
4、
#echo 1 > /proc/sys/net/ipv4/ip_forward *此更改在重新启动之后将被还原成默认值,所以为了固化配置需将/proc/sys/net/ipv4/ip_forward文件内容修改为1。(为什么不让修改,在什么模式下可以修改其值)
二、设置防火墙参数:
1、将主机A的防火墙的默认级别改为DROP
#iptables –P INPUT DROP
#iptables –P OUTPUT DROP
#iptables –P FORWARD DROP
#iptables –t nat –P PREROUTING DROP
#iptables –t nat –P POSTROUTING DROP
#iptables –t nat –P OUTPUT DROP
2、设置DMZ区域:
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.1 –p tcp –dport 80 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.1 –p tcp –dport 443 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.2 –p tcp –dport 25 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.3 –p tcp –dport 3306 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.4 –p tcp –dport 22 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –i eth1 –s 10.10.0.0/24 –d 192.168.0.5 –p tcp –dport 21 –j DNAT --to-destination 192.168.0.254
3、设置内网访问外网规则
#iptables –A FORWARD –i eth1 –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 80 –j SNAT --to-destination 10.0.0.254
#iptables –A FORWARD –i eth1 –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 443 –j SNAT --to-destination 10.0.0.254
#iptables –t nat –A POSTROUTING –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 80 –j SNAT --to-destination 10.0.0.254
#iptables –t nat –A POSTROUTING –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 443 –j SNAT --to-destination 10.0.0.254
在第3步骤的时候弄不清楚内网访问外网是用NAT好一点还是用forward好一些,哪个更安全,还是两个必须都得用上更安全。其他的不知道还需要配置什么吗?
四、保存对防火墙的设置并重新启动防火墙
#service iptables save
#service iptables restart
希望高手能帮忙指正一下错误,并帮以改正,谢谢。
|
|