扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
第三篇: 防火墙得实现
我选用的平台是:
Redhat 8.0 + Shorewall 1.4.8 (其实就是基于iptables), 有三块网卡,以方案一为例。
可能很多朋友都不太清楚 shorewall (http://www.shorewall.net),我先介绍一下 shorewall ,其实他是一个基于 iptables 得一个防火墙,他得优点在于配置方便,便于管理,用它很容易就能配出一个企业级得防火墙策略。
这里我说一下我个人观点,iptables 得命令过于复杂和麻烦,在管理方面和可读性方面比较差,我个人认为我们作为一个网管得精力应该放在如何设计防火墙策略,而不要陷身于一个命令得写法上。好了,废话不说了。
安装好 Redhat 8.0 ,并装好三块网卡后,下载 shorewall 的rpm 包shorewall-1.4.8-1.noarch.rpm(或者 tar 包都可以)
3.1、安装
#rpm -ivh shorewall-1.4.8-1.noarch.rpm
3.2、配置
shorewall 得所有配置文件都在 /etc/shorewall 下面,好了我将详细得讲解如何配置 shorewall
这里我们假设 DMZ区域有如下一些的服务器:
mail server: 10.1.2.2/24 公网地址:211.111.111.2
pptp vpn server: 10.1.2.3/24 公网地址:211.111.111.3
dns server:10.1.2.4/24 公网地址:211.111.111.4
http server: 10.1.2.5/24 公网地址:211.111.111.5
在 /etc/shorewall 可以看到有很多配置文件,我只讲我们要用到的配置文件,其它得很少用到;大家可以自己去看帮助,很好理解得
zones (定义防火墙得区域)
interfaces (定义接口)
masq (定义伪装IP)
policy (定义默认策略)
rules (定义防火墙规则)
fw all ACCEPT # Firewall 可以任意访问所有区域,包括互联网
lan wan ACCEPT # Lan A 可以任意访问互联网
dmz wan ACCEPT # DMZ 服务器可以任意访问互联网
lan dmz ACCEPT # Lan A 可以任意访问和管理DMZ服务器区
wan all DROP # 互联网不能随意访问内部网络和DMZ
all all REJECT
#cat /etc/shorewall/rules
#---------------------- Internet To mail Server -------------------------------
DNAT wan dmz:10.1.2.2 tcp smtp - 211.111.111.2
DNAT wan dmz:10.1.2.2 tcp POP3 - 211.111.111.2
#---------------------- Internet To PPTP Server -------------------------------
DNAT wan dmz:10.1.2.3 tcp 1723 - 211.111.111.3
DNAT wan dmz:10.1.2.3 47 - - 211.111.111.3
#---------------------- Internet To DNS Server -------------------------------
DNAT wan dmz:10.1.2.4 tcp 53 - 211.111.111.4
DNAT wan dmz:10.1.2.4 udp 53 - 211.111.111.4
#---------------------- Internet To http Server -------------------------------
DNAT wan dmz:10.1.2.5 tcp http - 211.111.111.5
好了,防火墙都配置好了,现在防火墙的结果如下:
Lan A 的用户 10.1.1.0/24 的用户全部伪装成 211.111.111.1 去访问互联网
mail server: 10.1.2.2/32 以公网地址:211.111.111.2 访问互联网
pptp vpn server: 10.1.2.3/32 以公网地址:211.111.111.3 访问互联网
dns server:10.1.2.4/32 以公网地址:211.111.111.4 访问互联网
http server: 10.1.2.5/32 以公网地址:211.111.111.5 访问互联网
Firewall 可以任意访问所有区域,包括互联网
Lan A 可以任意访问互联网
DMZ 服务器可以任意访问互联网
Lan A 可以任意访问和管理DMZ服务器区
互联网不能随意访问内部网络和DMZ
好了,到这所有配置文件都已经配好了,然后删除 /etc/shorewall/startup_disable 文件,用 shorewall restart 就可以启动防火墙了。
关于本文
相信到现在,大家对 shorewall 的配置文档有了一定的了解了,大家可以看出shorewall 的配置是很通俗易懂的,很容易的就可以配置好,希望我写的这个文章能给大家一点帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。