shorewall企业防火墙的完美实现(2)

　　第三篇: 防火墙得实现

　　我选用的平台是：

　　Redhat 8.0 + Shorewall 1.4.8 (其实就是基于iptables)， 有三块网卡，以方案一为例。

　　可能很多朋友都不太清楚 shorewall （http://www.shorewall.net），我先介绍一下 shorewall ，其实他是一个基于 iptables 得一个防火墙，他得优点在于配置方便，便于管理，用它很容易就能配出一个企业级得防火墙策略。

　　这里我说一下我个人观点，iptables 得命令过于复杂和麻烦，在管理方面和可读性方面比较差，我个人认为我们作为一个网管得精力应该放在如何设计防火墙策略，而不要陷身于一个命令得写法上。好了，废话不说了。

　　安装好 Redhat 8.0 ,并装好三块网卡后，下载 shorewall 的rpm 包shorewall-1.4.8-1.noarch.rpm（或者 tar 包都可以）

　　3.1、安装

　　#rpm -ivh shorewall-1.4.8-1.noarch.rpm

　　3.2、配置

　　shorewall 得所有配置文件都在 /etc/shorewall 下面，好了我将详细得讲解如何配置 shorewall

　　这里我们假设 DMZ区域有如下一些的服务器：

　　mail server: 10.1.2.2/24 公网地址：211.111.111.2

　　pptp vpn server: 10.1.2.3/24 公网地址：211.111.111.3

　　dns server：10.1.2.4/24 公网地址：211.111.111.4

　　http server: 10.1.2.5/24 公网地址：211.111.111.5

　　在 /etc/shorewall 可以看到有很多配置文件，我只讲我们要用到的配置文件，其它得很少用到；大家可以自己去看帮助，很好理解得

　　zones (定义防火墙得区域)

　　interfaces （定义接口）

　　masq (定义伪装IP)

　　policy （定义默认策略）

　　rules （定义防火墙规则）

　　fw all ACCEPT # Firewall 可以任意访问所有区域，包括互联网

　　lan wan ACCEPT # Lan A 可以任意访问互联网

　　dmz wan ACCEPT # DMZ 服务器可以任意访问互联网

　　lan dmz ACCEPT # Lan A 可以任意访问和管理DMZ服务器区

　　wan all DROP # 互联网不能随意访问内部网络和DMZ

　　all all REJECT

　　#cat /etc/shorewall/rules

　　#---------------------- Internet To mail Server -------------------------------

　　DNAT wan dmz:10.1.2.2 tcp smtp - 211.111.111.2

　　DNAT wan dmz:10.1.2.2 tcp POP3 - 211.111.111.2

　　#---------------------- Internet To PPTP Server -------------------------------

　　DNAT wan dmz:10.1.2.3 tcp 1723 - 211.111.111.3

　　DNAT wan dmz:10.1.2.3 47 - - 211.111.111.3

　　#---------------------- Internet To DNS Server -------------------------------

　　DNAT wan dmz:10.1.2.4 tcp 53 - 211.111.111.4

　　DNAT wan dmz:10.1.2.4 udp 53 - 211.111.111.4

　　#---------------------- Internet To http Server -------------------------------

　　DNAT wan dmz:10.1.2.5 tcp http - 211.111.111.5

　　好了，防火墙都配置好了，现在防火墙的结果如下：

　　Lan A 的用户 10.1.1.0/24 的用户全部伪装成 211.111.111.1 去访问互联网

　　mail server: 10.1.2.2/32 以公网地址：211.111.111.2 访问互联网

　　pptp vpn server: 10.1.2.3/32 以公网地址：211.111.111.3 访问互联网

　　dns server：10.1.2.4/32 以公网地址：211.111.111.4 访问互联网

　　http server: 10.1.2.5/32 以公网地址：211.111.111.5 访问互联网

　　Firewall 可以任意访问所有区域，包括互联网

　　Lan A 可以任意访问互联网

　　DMZ 服务器可以任意访问互联网

　　Lan A 可以任意访问和管理DMZ服务器区

　　互联网不能随意访问内部网络和DMZ

　　好了，到这所有配置文件都已经配好了，然后删除 /etc/shorewall/startup_disable 文件，用 shorewall restart 就可以启动防火墙了。

　　关于本文

　　相信到现在，大家对 shorewall 的配置文档有了一定的了解了，大家可以看出shorewall 的配置是很通俗易懂的，很容易的就可以配置好，希望我写的这个文章能给大家一点帮助。