(环境管理)环境下防火墙设计和配置.docxVIP

Linux环境下的netfilter/iptables防火墙设计和配置(防火墙课程设计-linux篇)

1问题和解答前言

1)问：采纳iptables怎样限制QQ。

答：QQ的source-port为4000，destination-port为8000只需要在FORWARD里加入一条规则就能够：iptables-AFORWARD-ieth0-pudp--dport8000-jDROP

2)问：我不想开放我的端口，但我要在我的电脑上启用http服务，并对外服务。

答：想开放除了80以外的端口你能够这样iptables-PINPUT–jDROP，用-P(大写字母)来拦截所有的通讯，而后再来同意哪些端口能够被使用，结果能够这样写：

iptables–AINPUT–ptcp–dport80–jACCEPT

3)问：因为我采纳了linux的iptables作为内外网络之间的隔绝墙，想在内网的计算机系统上架设ftp服务能够供外面接见，我该怎么做？

答：要用到iptables的一个强盛的功能为端口映照了。举比以下：

iptables-tnat-APREROUTING-ptcp-mtcp--dport25-jDNAT--to-

destination:25

4)问：怎样障蔽对内部ping，此中eth0为与外面网络相连结。

答：简单的iptables-AINPUT-picmp--icmp-typeecho-request-ieth0-jDROP

5)问：设有一台计算机作为linux防火墙，有两块网卡，eth0与校园网相连结，ip为；eth1与内部网络相连结，ip为。此刻需要把发往地点的80端口的ip包转发到内网ip地点的80端口，怎样设置？

答：iptables-tnat-APREROUTING-d29-ptcp-mtcp--dport80-

jDNAT--to-destination:80

能否忘了翻开FORWARD链的有关端口。

6)怎样在Linux路由器下采纳iptables防火墙建立DMZ(解答规则的实现中存在不完好的地方，请指出)？

答：要建立一个带DMZ的防火墙，第一要对从连结外面网络的网卡(eth0)上流入的数据进行判断，这是在INPUT链上达成。假如数据的目标地点属于DMZ网段，就要将数据转发到连结DMZ网络的网卡(eth1)上；假如是内部网络的地点，就要将数据转发到连结

第1页

内部网络的网卡(eth2)上，如图1所示。各个网络之间的接见关系以下描绘(6条接见控制策略)：

(1)内网能够接见外网

内网的用户明显需要自由地接见外网。在这一策略中，防火墙需要进行源地点变换。

(2)内网能够接见DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

(3)外网不可以接见内网

很明显，内网中寄存的是企业内部数据，这些数据不一样意外网的用户进行接见。

(4)外网能够接见DMZ

DMZ中的服务器自己就是要给外界供给服务的，所以外网一定能够接见DMZ。同时，外网接见DMZ需要由防火墙达成对外处点到服务器实质地点的变换。

(5)DMZ不可以接见内网

很明显，假如违反此策略，则当入侵者攻下DMZ时，就能够进一步攻击到内网的重要数据。

(6)DMZ不可以接见外网

此条策略也有例外，比方DMZ中搁置邮件服务器时，就需要接见外网，不然将不可以正

常工作。

Linux

Linux防火墙Eth2

Eth1

内部网外

内部网

DMZ区

图1DMZ构造

?DMZ实现：

依据以上接见控制策略能够设定Linux防火墙的过滤规则。用户在实质应用时可依据具体的状况进行设置，设定虚构环境的网络拓扑如图1。

如图1所示，作为防火墙的Linux服务器使用三块网卡：网卡eth0与外面网络连结(或者经过路由器连结)，网卡eth1与DMZ区的Hub或互换机相连结，网卡eth2与内网Hub或互换机相连结。

对于防火墙，原则之一就是默认严禁所有数据通讯，而后再翻开必需的通讯。所以在防火墙脚本的最先，需要清空系统原有的规则，而后将INPUT、OUTPUT、FORWARD的默认规则设置为抛弃所有数据包，对应的防火墙脚本片段以下：

#清空系统原有的所有规则

/sbin/iptables-F

/sbin/iptables-X

/sbin/iptables-tnat-F

第2页

/sbin/iptables-tnat-X

#默认抛弃所有数据包

/sbin/iptables-P