分类: LINUX
2009-02-01 00:21:02
FireWall服务器配置要求以及详细配置
(1)、操作系统采用Red Hat Enterprise Linux 4;
(2)、采用IPtables服务器作为防火墙;
(3)、iptables 输入输出转发规则链全部DROP 实现SNAT和DNAT
(4)、能让内网的私有地址访问外部网络所有的服务,
(5)、发布内部的ftp 、web 、mail 服务器,实现两台web服务器均衡负载
配置防火墙内部网卡
DEVICE=eth0 //设备名称:eth0 ONBOOT=yes //自动启动:是 BOOTPROTO=static //地址获取方式:静态地址 IPADDR= NETMASK=255.255.255.0 //子网掩码
2、[root@localhost ~]#vi /etc/sysconfig/network-scripts/ifcfg-eth1
(2)、配置防火墙外部网卡
DEVICE=eth1 //设备名称:eth0 ONBOOT=yes //自动启动:是 BOOTPROTO=static //地址获取方式:静态地址 IPADDR= 172.16.2.100 //IP地址(模拟公网地址) NETMASK=255.255.255.0 //子网掩码
3、[root@localhost ~]#service network restart
重启网络服务
4、[root@localhost ~]#vi fw
(3)、编写防火墙脚本
iptables –F –t filter //清空filter表 iptables –F –t nat //清空nat表 iptables –F –t mangle //清空mangle表 iptables –P INPUT DROP //禁止所有进入的数据 iptables –P OUTPUT DROP //禁止所有出去的数据 iptables –P FORWARD DROP //禁止所有转发的数据 iptables –t nat –A POSTROUTING –s //允许所有 iptables –t nat –A PREROUTING –d 172.16.2.100 -p tcp –multiport – dport 25,110, –j DNAT --to //发布邮件服务器 iptables –t nat –A PREROUTING –d 172.16.2.100 -p tcp –multiport – dport 143,53, –j DNAT --to //发布DNS服务器 iptables –t nat –A PREROUTING –d 172.16.2.100 -p tcp –multiport -- dport 21,20 –j DNAT --to //发布FTP服务器 iptables –t nat –A PREROUTING –d 172.16.1.100 -p tcp –multiport -- dport 80 –j DNAT --to //发布HTTP服务器 iptables –t nat –A PREROUTING –d 172.16.2.101 -p tcp –multiport -- dport 80 –j DNAT --to //发布HTTP服务器(此IP地址是防火墙外网卡的另一个地址,专为配置OpenWebMail配置。 iptables –t nat –A PREROUTING –d 172.16.2.100 -p tcp –multiport -- dport 80 –j DNAT --to //实现负载均衡。 echo 1 >/proc/sys/net/ipv4/ip_forward //开启路
(5)、[root@localhost ~]#ifconfig eth1:1 172.16.2.101
为防火墙的外网卡配置另外一个地址。
运行防火墙脚本。
