Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3162874
  • 博文数量: 797
  • 博客积分: 10134
  • 博客等级: 上将
  • 技术积分: 9335
  • 用 户 组: 普通用户
  • 注册时间: 2006-06-22 22:57
个人简介

1

文章分类

全部博文(797)

文章存档

2022年(1)

2021年(2)

2017年(2)

2016年(1)

2015年(4)

2014年(1)

2013年(6)

2012年(6)

2011年(10)

2010年(26)

2009年(63)

2008年(61)

2007年(51)

2006年(563)

我的朋友

分类: LINUX

2006-07-20 11:10:35



环境如下:
服务器一台,双网卡,eth0接交换机,eth1接外网线路,设置如下:
eth0:为C类网段,IP设置为192.168.0.1/255.255.255.0(不要设置默认网关、DNS参数)
eth1接外网,按照电信给的参数设置。(例子:IP为66.66.66.66,子网掩码255.255.0.0,默认网关66.66.66.1,DNS设202.102.29.3,同时向外网提供web、FTP、webmail服务)
以上参数在光盘安装AS4的时候就可以一次性设置好。
局域网机器200台,IP范围:192.168.0.10~192.168.0.210,子网掩码255.255.255.0,默认网关 192.168.0.1,DNS为202.102.29.3(当启动防火墙的MASQ转发以后,外网是透明的,可以直接访问到外网的DNS服务器)

在webmin中shorewall防火墙设置如下:
先将原来的设置全部删除

1。为每块网卡新建一个区域:
A.在网络区域(zones)里点"增加一个网络区域",填入如下:
区域ID wan
显示名称 internet
描述 internet-eth1
然后点“新建”

B.在网络区域(zones)里点"增加一个网络区域",填入如下:
区域ID lan
显示名称 ourlan
描述 lan-eth0

然后点“新建”

2。为每块网卡新建一个网卡界面:
A.回到网卡界面(interfaces),点“新建一个网卡界面”,填入如下:
网卡:eth0
区域名:选中ourlan
广播地址:选择“自动”

然后点“新建”
B.回到网卡界面(interfaces),点“新建一个网卡界面”,填入如下:
网卡:eth1
区域名:选中internet
广播地址:选择“自动”

然后点“新建”

3。为每块网卡建立默认策略,这里我们设置外网全部DROP(拒绝),内网全部ACCEPT(接受)
A.回到默认策略(policy),点”增加一个默认策略“,填入如下:
来源区域:选中”防火墙自身“
目标区域: 选中”任何“
策略: 选中”ACCEPT"
其他的不需要
点“保存”

B.再点”增加一个默认策略“,填入如下:
来源区域:选中”wan“
目标区域: 选中”任何“
策略: 选中”DROP"
其他的不需要
点“保存”

C.再点”增加一个默认策略“,填入如下:
来源区域:选中”lan“
目标区域: 选中”任何“
策略: 选中”ACCEPT"
其他的不需要
点“保存”

4.对外网开放web,ftp,mail服务
回到防火墙规则(rules), 点”增加一个防火墙规则“,输入如下:
动作:ACCEPT
来源区域:选中“internet"
目标区域或端口号:选中”任何“
协议:选中”TCP"
来源端口:选中“任何”
目标端口:选中“端口集或范围”,在后面填入你希望开放的端口号,中间用,号隔开;我是这样输入:80,25,110,21,443

其他的都不用改,点“保存”

5.开启Masq转发,共享上网。
点"Masq转发",再点“新建Masq转发规则”,填入如下:
网卡输出:选择"eth1" (接外网的网卡号)
需要Masq的网络:选中“子网地址”,在后面填入:192.168.0.0/24 (是整个局域网网段)
点"保存"

6,完成
点“检查防火墙”,运行一下检查程序,如果它显示“.. 您现在的配置看上去没有问题”就OK了
然后点“应用配置”,shorewall就启动了。
你现在可以从局域网的机器上访问外部网站了。
由于这里设置了对内网是全部ACCEPT的,局域网的机器可以访问到服务器上所有正在运行的服务端口,比如22(ssh端口),10000(webmin 端口),3306(mysql数据库端口)等,这可能产生安全漏洞,你也可以把内网网卡设置成全部DROP,然后逐个开放需要的端口,操作与设置wan相 同。
如果需要,我们也可以设置只Masq某一个IP的机器可以上网,而其他的机器不能上网。办法是在Masq转发里添加规则,子网地址里填允许上网的机器的单个IP,比如192.168.0.22/24,而不是整个网段192.168.0.0/24

如果需要定时开放上网,比如只有上午8:00-12:00才允许上网,其他时间都不允许上网,有个笨办法:
将包含正常上网的规则的masq文件备份,然后建两个shell脚本,shell1负责删除/etc/shorewall/masq,并touch一个新的空的masq文件,shell2负责把备份的masq文件拷到/etc/shorewall目录下
然后crontab -e建两个定时执行的任务,一个在每天8点运行,执行shell2并重新启动shorewall,另一个在每天12点执行,执行shell1并重新启动shorewall。
这样就实现了定时上网的功能。

阅读(3858) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~