Chinaunix首页 | 论坛 | 博客
  • 博客访问: 12120
  • 博文数量: 7
  • 博客积分: 290
  • 博客等级: 二等列兵
  • 技术积分: 90
  • 用 户 组: 普通用户
  • 注册时间: 2009-01-30 18:36
文章分类
文章存档

2011年(1)

2009年(6)

我的朋友
最近访客

分类: LINUX

2009-02-01 00:21:02

FireWall服务器配置要求以及详细配置

5.10.1 FireWall搭建要求:

1)、操作系统采用Red Hat Enterprise Linux 4

2)、采用IPtables服务器作为防火墙;

3)、iptables 输入输出转发规则链全部DROP  实现SNATDNAT

4)、能让内网的私有地址访问外部网络所有的服务,

5)、发布内部的ftp web mail 服务器,实现两台web服务器均衡负载

5.10.2 FireWall 详细配置:

配置防火墙内部网卡

 

 

DEVICE=eth0                                      //设备名称:eth0

ONBOOT=yes                                       //自动启动:是

BOOTPROTO=static                                 //地址获取方式:静态地址

IPADDR=10.1.11.251                               //IP地址

NETMASK=255.255.255.0                            //子网掩码

 

 

 


2[root@localhost ~]#vi /etc/sysconfig/network-scripts/ifcfg-eth1

 

2)、配置防火墙外部网卡

DEVICE=eth1                                     //设备名称:eth0

ONBOOT=yes                                      //自动启动:是

BOOTPROTO=static                                //地址获取方式:静态地址

IPADDR= 172.16.2.100                           //IP地址(模拟公网地址)               

NETMASK=255.255.255.0                          //子网掩码

 

 

 


3[root@localhost ~]#service network restart

 重启网络服务

4[root@localhost ~]#vi fw

 

3)、编写防火墙脚本

iptables –F –t filter                     //清空filter

iptables –F –t nat                        //清空nat

iptables –F –t mangle                     //清空mangle

iptables –P INPUT DROP                   //禁止所有进入的数据

iptables –P OUTPUT DROP                  //禁止所有出去的数据

iptables –P FORWARD DROP                 //禁止所有转发的数据

 

iptables –t nat –A POSTROUTING –s 10.1.11.0/24 –j SNAT –to 172.16.2.100(模拟外部公网地址)

//允许所有10.1.11.0/24网段的地址转换为 172.16.2.100,访问外网。

 

iptables –t  nat –A PREROUTING  –d 172.16.2.100  -p tcp

–multiport – dport 25,110, –j DNAT --to 10.1.11.4

//发布邮件服务器

 

iptables –t  nat –A PREROUTING  –d 172.16.2.100  -p tcp

–multiport – dport 143,53, –j DNAT --to 10.1.11.1

//发布DNS服务器

 

iptables –t  nat –A PREROUTING  –d 172.16.2.100  -p tcp –multiport  -- dport 21,20 –j DNAT --to 10.1.11.3

//发布FTP服务器

 

iptables –t  nat –A PREROUTING  –d 172.16.1.100  -p tcp –multiport -- dport 80 –j DNAT --to 10.1.11.2

//发布HTTP服务器

 

iptables –t  nat –A PREROUTING  –d 172.16.2.101  -p tcp –multiport -- dport 80 –j DNAT --to 10.1.11.4

//发布HTTP服务器(此IP地址是防火墙外网卡的另一个地址,专为配置OpenWebMail配置。

 

iptables –t  nat –A PREROUTING  –d 172.16.2.100  -p tcp –multiport -- dport 80 –j DNAT --to 10.1.11.2-10.1.11.5

//实现负载均衡。

 

echo 1 >/proc/sys/net/ipv4/ip_forward                         //开启路

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


5)、[root@localhost ~]#ifconfig eth1:1 172.16.2.101

为防火墙的外网卡配置另外一个地址。

运行防火墙脚本。

 

阅读(534) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~