Chinaunix首页 | 论坛 | 博客
  • 博客访问: 439334
  • 博文数量: 58
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 623
  • 用 户 组: 普通用户
  • 注册时间: 2013-04-26 18:48
个人简介

在生存面前,那纯洁的理想,原来是那么脆弱不堪!

文章分类

全部博文(58)

文章存档

2022年(1)

2021年(1)

2019年(3)

2018年(6)

2017年(6)

2016年(14)

2015年(10)

2014年(16)

2013年(1)

我的朋友

分类: 网络与安全

2016-06-23 12:51:10

设备配置单:
1,防火墙一台(我们这里采用普通Linux主机)
2,三层交换机一台(华为S5700)
3,pc机一台

一,交换机配置。
    交换机配置比较简单,主要工作是划出两个vlan,一个用于连接PC,一个用于连接防火墙。
    1,内网vlan以及接口配置如下
  1. interface Vlanif10
  2.  ip address 192.168.10.1 255.255.255.0
  3.  dhcp select interface

  4. interface GigabitEthernet0/0/1 
  5.  port link-type access
  6.  port default vlan 10
    2,接入防火墙vlan及接口配置

点击(此处)折叠或打开

  1. vlan配置
  2. interface Vlanif2
  3.  ip address 192.168.100.1 255.255.255.0
  4.  dhcp select interface

  5. 接口配置
  6. interface GigabitEthernet0/0/23
  7.  port link-type access
  8.  port default vlan 2
二,设备连接关系。
    1,通过第一步的设置,确定了如下物理连接关系:
    pc 接入 g 0/0/1          IP段:192.168.10.1/24
    防火墙接入 g 0/0/23   IP段:192.168.100.1/24

    2,设备地址:
     pc: 192.168.10.254
     防火墙内网接口:192.168.100.254

三,配置设备路由。
    1,首先三层交换机要配置默认路由。
  1. ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
  2. 这里把默认路由指向防火墙接口。
    2,配置防火墙路由。

配置结果如下

  1. 192.168.100.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
  2. 172.16.112.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
  3. 192.168.12.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
  4. 192.168.11.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
  5. 192.168.10.0 192.168.100.1 255.255.255.0 UG 0 0 0 eth0
  6. 0.0.0.0 172.16.112.2 0.0.0.0 UG 0 0 0 wlan0

四,做NAT转换配置

1,配置内网终端上网。

  1. iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o wlan0 -j SNAT --to-source 172.16.112.16
  2. iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o wlan0 -p icmp -j SNAT --to-source 172.16.112.16

     做以上配置,内网中的任意一台终端设备(pc),都可以通过防火墙上互联网

2,映射内网服务器端口到外网。

  1. iptables -t nat -A PREROUTING -d 172.16.112.16/32 -i wlan0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.12.254

     做以上配置,通过外网地址172.16.112.16:80 可以访问到内网192.168.12.254:80

五,注意。
    1,Linux系统默认不转发ip包。

需要做如下配置。

  1. 配置 /etc/sysctl.conf
  2. net.ipv4.ip_forward = 1

  3. #sysctl -p 立即生效
    2,防火墙FORWARD可能会设置过滤。

最简单的方法是

  1. iptables -F FORWARD

  2. 当然可以采用更精确的过滤方法。


总结:
    1,交换机与防火墙的连接,直接采用access模式。
    2,交换机的默认路由要指向防火墙的接口地址。
    3,防火墙的内网路由要指向交换机的接口地址。
    4,防火强做NAT转换以及更高级的IP过滤功能。

整个配置过程中,一直需要tcpdump监听的配合,good luck!!





阅读(6236) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~