用Linux防火墙构建DMZ(3)

　　/sbin/iptables -t nat -A POSTROUTING -s [内网地址] -d [外网地址] -o eth0 -j SNAT --to [NAT的真实IP]

　　当数据从连接外网的eth0流出时，要将来自内网的数据包的源地址改成Internet上的真实IP，这样才能和外网的主机进行通信。“[NAT的真实IP]”表示分配给NAT用户的真实IP，有几个就写几个，以空格分开，但至少要写一个。

　　2.内网可以访问DMZ

　　对应的防火墙脚本片段如下：

　　/sbin/iptables -A FORWARD -s [内网地址] -d [DMZ地址] -i eth2 -j ACCEPT

　　以上命令允许所有来自内网、目的地为DMZ的数据包通过。

　　3.外网不能访问内网

　　对应的防火墙脚本片段如下：

　　/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [内网地址] -i eth0 -j DROP

　　以上命令将来自外网、去往内网的数据包全部丢弃。

　　4.外网可以访问DMZ

　　为了保护DMZ中的服务器，外网对DMZ的访问也要加以限制。通常的思路是，只允许外网访问DMZ中服务器所提供的特定服务，比如HTTP。

　　对应的防火墙脚本片段如下：

　　/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -d [分配给HTTP服务器的Internet上的真实IP] -s [外网地址] -i eth0 -j DNAT --to [HTTP服务器的实际IP]

　　/sbin/iptables -A FORWARD -p tcp -s [外网地址] -d [HTTP服务器的实际IP] -i eth0 --dport 80 -j ACCEPT

　　/sbin/iptables -A FORWARD -p tcp -d [外网地址] -s [HTTP服务器的实际IP] -i eth1 --sport 80 ! --syn -j ACCEPT

　　/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [DMZ地址] -i eth0 -j DROP

　　该防火墙脚本片段将开放HTTP服务，使得只有访问DMZ中HTTP服务的数据包才能通过防火墙。

　　5.DMZ不能访问内网

　　对应的防火墙脚本片段如下：

　　/sbin/iptables -A FORWARD -s [DMZ地址] -d [内网地址] -i eth1 -j DROP

　　以上命令将丢弃所有从DMZ到内网的数据包。

　　6.DMZ不能访问外网

　　对应的防火墙脚本片段如下：

　　/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 25 -d [外网地址] -s [邮件服务器的IP] -o eth0 -j SNAT --to [分配给SMTP服务器的Internet上的真实IP]

　　/sbin/iptables -A FORWARD -p tcp -s [邮件服务器的IP] -d [外网地址] -i eth1 --dport 25 -j ACCEPT

　　/sbin/iptables -A FORWARD -p tcp -d [邮件服务器的IP] -s [外网地址] -i eth0--sport 25 ! --syn -j ACCEPT

　　以上命令先允许DMZ中邮件服务器连接外网的SMTP服务端口(25)，然后禁止其它从DMZ发往外网的数据包。

　　针对以上基本策略例举了实现它们的基本规则。在实际应用中，需要根据具体情况进行设置。只要设置得当，Linux也能成为很好的防火墙。需要补充的是，无论何种防火墙都只能提供有限的保护。设置好防火墙不等于网络就是安全的，关键在于综合运用各种安全手段。