Iptables实现 DMZ 区域的服务器简单的发布策略-阿里云开发者社区

Iptables实现 DMZ 区域的服务器简单的发布策略

2017-11-02 1865

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

+关注继续查看

发布DMZ 内部的服务器，能够使INTERNET 客户机访问DMZ 内的邮件服务、网站、FTP，等服务器，使内部的主机能够连接到INTERNET 发送外网邮件；拒绝不正常的连接和黑客的攻击。

二 、主机配置：

具体的配置文件：

主机名：iptables.bdqn.com

/etc/hosts

/etc/sysconfig/network

内部接口：eth0 IP 192.168.10.2/24

/etc/sysconfig/network-scripts/ifcfg-eth0

公共接口：eth1 IP 202.202.202.100/24

/etc/sysconfig/network-scripts/ifcfg-eth1

三 、IPTABLES 防火墙的具体配置

安装iptables的软件包，RedHat系统已经默认安装

具体的配置规则如下：

首先打开内核的转发功能：echo “echo 1 > /proc/sys/net/ipv4/ip_forward”> /etc/rc.d/rc/local

iptables -F 清空此表中的规则

iptables -X 清空此表中的自定义规则

iptables -Z 清空此表中的计数器为0

Netfilter 表的配置：

1． iptables –P INPUT DROP

2． iiptables –P OUTPUT DROP

3． iptables –P FORWARD ACCEPT

4． Iptables –A –p icmp –i eth1 –j DROP

5． iptables -A -INPUT -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level INFO --log-prefix "IP INPUT packr\et died:"

6． iptables -A -FORWARD -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"

7． iptables -A -OUTPUT -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"

Nat 表的配置：

１． iptables -t nat –P OUTPUT DROP

２． iptables -t nat –P PREROUTING DROP

３． iptables -t nat –P POSTROUTING DROP

４． iptables -t nat –A POSTROUTING –o eth1 –s 192.168.10.0/24 –j SNAT --to 202.202.202.100
#转换 192.168.10.0 网段的地址到公网地址接口

５． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 80 –j DNAT --to 192.168.10.5:80
#转换外部请求的www服务到 192.168.10.5这台www服务器上

６． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 25 –j DNAT --to 192.168.10.4:25
#转换外部请求的smtp服务到192.168.10.4这个mail服务器上

７． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 110 –j DNAT --to 192.168.10.4:110
#转换外部请求的pop3服务到192.168.10.4这个mail服务器上

８． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 20 –j DNAT --to 192.168.10.52:20
#转换外部请求FTP数据端口20服务到192.168.10.52这个服务器上

９． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 21 –j DNAT --to 192.168.10.5:21
#转换外部请求FTP控制口21服务到192.168.10.52这个服务器上

１０． iptables -t nat –A PREROUTING -i eth1 –p udp –dport 53 –j DNAT --to 192.168.10.3:53
#转换外部请求DNS udp端口53服务到192.168.10.3这个服务器上

１１． iptables -t nat –A PREROUTING -i eth1 –p tcp –dport 53 –j DNAT --to 192.168.10.3:53
#转换外部请求DNS tcp端口53服务到192.168.10.3这个服务器上

Mangle 表的配置

１． iptables –t mangle –P INPUT DROP

２． iptables –t mangle –P OUTPUT DROP

３． iptables –t mangle –P FORWARD ACCEPT

４． iptables –t mangle –P PREROUTING DROP

５． iptables –t mangle –P POSTROUTING DROP

配置后保存配置：

iptables-save > /etc/sysconfig/iptables

恢复配置：

iptables-restore < /etc/sysconfig/iptables

防火墙配置完毕

本文转自andylhz 51CTO博客，原文链接：http://blog.51cto.com/andylhz2009/189479，如需转载请自行联系原作者