| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
随着Internet的飞速发展,安全问题越来越重要。利用Linux构建企业网深受中小企业的青睐,而利用Linux构建企业网的防火墙系统也成为众多中小企业的理想选择。 Linux 内核从1.1版本开始,就已经具备包过滤功能。在2.0内核中,开始采用Ipfwadm来操作内核的包过滤规则。到2.2版本时,Linux内核采用了 Ipchains来控制内核的包过滤规则。发展到2.4.x时,Ipchains被一个全新的包过滤管理工具Iptables所替代。新发布的2.6版内核也在安全方面进行了改进。因此,无论拥有哪个版本的Linux内核,无论选择哪个版本的Linux来构建自己的企业网,都可以利用现有的系统构建出一个理想实用的防火墙。 防火墙系统可分为包过滤型、应用级网关(也叫代理服务器型防火墙)和电路级网关三种基本类型。
Linux提供的防火墙软件包内置于Linux内核中,是一种基于包过滤型的防火墙实现技术。其中心思想是根据网络层IP包头中的源地址、目的地址及包类型等信息来控制包的流向。更彻底的过滤则是检查包中的源端口、目的端口以及连接状态等信息。 Netfilter是Linux核心中一个通用架构,用于扩展各种服务的结构化底层服务。它提供一系列的表(tables),每个表由若干链(chains)组成,而每条链中可以由一条或数条规则(rule)组成。它可以和其它模块(如iptables模块和nat模块)结合起来实现包过滤功能。Iptables是一个管理内核包过滤的工具,可以加入、插入或删除核心包过滤表格中的规则。实际上真正来执行这些过滤规则的是Netfilter 。
硬件平台:
① R.H linux9.0系统pc一台(FireWall)三个8139 TP-LINK 网卡
Eth0(IP:218.197.93.115)
Eth1(IP:192.168.1.1)
Eth2(IP:192.168.2.1)
② R.H linux9.0系统pc一台B(SERVER)一个8139 TP-LINK 网卡
C(IP:192.168.1.2)
网管论坛bbs_bitsCN_com
③ 笔记本A一台双系统(windows Xp和R.H linux9.0)一个8139网卡,Cute-ftp软件一套
A(IP:192.168.2.2) 网管联盟bitsCN@com
④windows Xp系统pc一台一个8139网卡,Cute-ftp软件一套
B(IP:218.197.93.161) 网管bitscn_com
⑤RJ45交叉线若干
实验目的:
一> 实现FireWall的NAT功能让A能访问WAN(218.197.93.254)
二>在SERVER上开启ftp,web服务(简单的)使得A,B正常访问C
三>开启防火墙 网管联盟bitsCN_com
1. 内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
网管u家u.bitsCN.com
2. 内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。 中国网管论坛bbs.bitsCN.com
3. 外网不能访问内网
很显然,内网中存放的是内部数据,这些数据不允许外网的用户进行访问。
网管bitscn_com
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 网管bitscn_com
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
网管联盟bitsCN@com
6.DMZ不能访问外网
DMZ中的服务器专门用于给外界提供服务的,所以外网必须可以访问DMZ,而DMZ中的服务器则不允许主动访问外网。 网管联盟bitsCN_com
实验步骤:
一>实现路由功能:
首先来配置eth0。给这个网络接口分配地址218.197.93.115,运行下列命令:
# ifconfig eth0 218.197.93.115 netmask 255.255.255.0
为了使这个地址不再计算机重新启动后消失,编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件,
DEVICE = eth0
ONBOOT = yes
BROADCAST = 218.197.93.255
NETWORK = 218.197.93.0
NETMASK = 255.255.255.0
IPADDR = 218.197.93.115
增加一条静态路由:
# route add -net 218.197.93.0 netmask 255.255.255.0
接下来,配置eth1,eth1与192.168.1.0网段相连,分配给它的地址是192.168.1.1,使用ifconfig命令为它配置参数:
# ifconfig eth1 192.168.1.1 netmask 255.255.255.0
编辑/etc/sysconfig/network-scripts/ifcfg-eth1文件,
DEVICE = eth1
ONBOOT = yes
BROADCAST = 192.168.1.255
NETWORK = 192.168.1.0
NETMASK = 255.255.255.0
IPADDR = 192.168.1.1
增加一条静态路由:
# route add -net192.168.1.0 netmask 255.255.255.0
网管u家u.bitscn@com
二>在C上开启www,ftp服务:
#service httpd start
#service vsftpd start
三>在防火墙上初始化设置
◆防火墙上初始化
#service iptables stop
#iptables -F
#iptables -t nat -F
#iptables -X
#iptables -t nat -X
#iptables -Z
#iptables -t nat -Z
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
#iptables -t nat -P POSTROUTING DROP
#service iptables start
◆最后一步,要增加系统的IP转发功能,执行如下命令打开ip转发功能:
echo 1 > /proc/sys/net/ipv4/ip_forward
四>在防火墙上实现端口地址映射:
◆允许A机器访问WAN
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j ACCEPT
◆A往C的包都允许
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT
◆WAN往A的包都不允许
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -i eth0 -j DROP
网管论坛bbs_bitsCN_com
|
0
|
评论加载中…
