netfilter/iptables的防火墙环境(2)

　　硬件平台：

　　① R.H linux9.0系统pc一台（FireWall）三个8139 TP-LINK 网卡

　　Eth0(IP：218.197.93.115)

　　Eth1(IP：192.168.1.1)

　　Eth2(IP：192.168.2.1)

　　② R.H linux9.0系统pc一台B（SERVER）一个8139 TP-LINK 网卡

　　C（IP：192.168.1.2）

　　③ 笔记本A一台双系统（windows Xp和R.H linux9.0）一个8139网卡，Cute-ftp软件一套

　　A（IP：192.168.2.2）

　　④windows Xp系统pc一台一个8139网卡,Cute-ftp软件一套

　　B（IP：218.197.93.161）

　　⑤RJ45交叉线若干

　　实验目的：

　　一> 实现FireWall的NAT功能让A能访问WAN（218.197.93.254）

　　二>在SERVER上开启ftp,web服务（简单的）使得A,B正常访问C

　　三>开启防火墙

　　1. 内网可以访问外网

　　内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。

　　2. 内网可以访问DMZ

　　此策略是为了方便内网用户使用和管理DMZ中的服务器。

　　3. 外网不能访问内网

　　很显然，内网中存放的是内部数据，这些数据不允许外网的用户进行访问。

　　4.外网可以访问DMZ

　　DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

　　5.DMZ不能访问内网

　　很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。

　　6.DMZ不能访问外网

　　DMZ中的服务器专门用于给外界提供服务的，所以外网必须可以访问DMZ，而DMZ中的服务器则不允许主动访问外网。

　　实验步骤：

　　一>实现路由功能：

　　首先来配置eth0。给这个网络接口分配地址218.197.93.115，运行下列命令：

　　# ifconfig eth0 218.197.93.115 netmask 255.255.255.0

　　为了使这个地址不再计算机重新启动后消失，编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件，

　　DEVICE = eth0

　　ONBOOT = yes

　　BROADCAST = 218.197.93.255

　　NETWORK = 218.197.93.0

　　NETMASK = 255.255.255.0

　　IPADDR = 218.197.93.115

　　增加一条静态路由：

　　# route add -net 218.197.93.0 netmask 255.255.255.0

　　接下来，配置eth1，eth1与192.168.1.0网段相连，分配给它的地址是192.168.1.1，使用ifconfig命令为它配置参数：

　　# ifconfig eth1 192.168.1.1 netmask 255.255.255.0

　　编辑/etc/sysconfig/network-scripts/ifcfg-eth1文件，

　　DEVICE = eth1

　　ONBOOT = yes

　　BROADCAST = 192.168.1.255

　　NETWORK = 192.168.1.0

　　NETMASK = 255.255.255.0

　　IPADDR = 192.168.1.1

　　增加一条静态路由：

　　# route add -net192.168.1.0 netmask 255.255.255.0

　　最后配置eth2，它连接192.168.2.0网段，分配的IP地址是192.168.2.1，执行下列命令：