配置iptables遇到的疑惑，希望高手能幫忙解答一下。

ji.hf_space

設(shè)計(jì)方案：

主機(jī) A: 網(wǎng)關(guān) (防火墻)
主機(jī) B: Web 服務(wù)器
主機(jī) C: 郵件服務(wù)器
主機(jī) D: 數(shù)據(jù)庫(kù)服務(wù)器
主機(jī) E: 遠(yuǎn)程登錄服務(wù)器 (SSH)
主機(jī) F: 文件服務(wù)器 (開(kāi)發(fā))
終端 X: 工作站
終端 Y: 工作站
終端 Z: 工作站


應(yīng)該考慮安全性, DMZ,...。
終端機(jī)器能夠通過(guò)80,443端口訪問(wèn)internet.
主機(jī)B-F可以做任何事情.

給出主機(jī)A上防火墻iptable的簡(jiǎn)單設(shè)置。


根據(jù)需求分析，主機(jī)A需配三塊NIC，其余服務(wù)器網(wǎng)卡數(shù)量沒(méi)有特殊要求，現(xiàn)規(guī)劃如下：
主機(jī) A: 網(wǎng)關(guān) (防火墻)
eth0：直接接入到公網(wǎng)；
eth1：IP地址為：10.10.0.254/24，與服務(wù)器所處同一網(wǎng)絡(luò)；
eth2：IP地址為：192.168.0.254/24，與服務(wù)器所處同一網(wǎng)絡(luò)；
主機(jī) B: Web 服務(wù)器IP地址為：192.168.0.1/24；
主機(jī) C: 郵件服務(wù)器IP地址為：192.168.0.2/24；
主機(jī) D: 數(shù)據(jù)庫(kù)服務(wù)器IP地址為：192.168.0.3/24；
主機(jī) E: 遠(yuǎn)程登錄服務(wù)器 (SSH) IP地址為：192.168.0.4/24；
主機(jī) F: 文件服務(wù)器 (開(kāi)發(fā))IP地址為：192.168.0.5/24；

主機(jī)B、C、D、E、F所處DMZ區(qū)，客戶機(jī)所處內(nèi)網(wǎng)
拓?fù)淙鐖D所示：

現(xiàn)主機(jī)A既防火墻配置如下：
一、
首先將主機(jī)A設(shè)置為網(wǎng)關(guān)
1、
將主機(jī)A的eth0與Internet相連；
2、
將主機(jī)A的eth1接口IP設(shè)置為10.10.0.254/24；
3、
將主機(jī)A的eth2接口IP設(shè)置為192.168.0.254/24；
4、
#echo 1 > /proc/sys/net/ipv4/ip_forward *此更改在重新啟動(dòng)之后將被還原成默認(rèn)值，所以為了固化配置需將/proc/sys/net/ipv4/ip_forward文件內(nèi)容修改為1。(為什么不讓修改，在什么模式下可以修改其值)
二、設(shè)置防火墻參數(shù)：
1、將主機(jī)A的防火墻的默認(rèn)級(jí)別改為DROP

#iptables –P INPUT DROP
#iptables –P OUTPUT DROP
#iptables –P FORWARD DROP
#iptables –t nat –P PREROUTING DROP
#iptables –t nat –P POSTROUTING DROP
#iptables –t nat –P OUTPUT DROP

2、設(shè)置DMZ區(qū)域：

#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.1 –p tcp –dport 80 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.1 –p tcp –dport 443 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.2 –p tcp –dport 25 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.3 –p tcp –dport 3306 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –s 0.0.0.0/0 –d 192.168.0.4 –p tcp –dport 22 –j DNAT --to-destination 192.168.0.254
#iptables –t nat –A PREROUTING –i eth1 –s 10.10.0.0/24 –d 192.168.0.5 –p tcp –dport 21 –j DNAT --to-destination 192.168.0.254

3、設(shè)置內(nèi)網(wǎng)訪問(wèn)外網(wǎng)規(guī)則

#iptables –A FORWARD –i eth1 –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 80 –j SNAT --to-destination 10.0.0.254
#iptables –A FORWARD –i eth1 –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 443 –j SNAT --to-destination 10.0.0.254
#iptables –t nat –A POSTROUTING –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 80 –j SNAT --to-destination 10.0.0.254
#iptables –t nat –A POSTROUTING –s 10.10.0.0/24 –o eth0 –d 0.0.0.0/0 –p tcp –dport 443 –j SNAT --to-destination 10.0.0.254

在第3步驟的時(shí)候弄不清楚內(nèi)網(wǎng)訪問(wèn)外網(wǎng)是用NAT好一點(diǎn)還是用forward好一些，哪個(gè)更安全，還是兩個(gè)必須都得用上更安全。其他的不知道還需要配置什么嗎？

四、保存對(duì)防火墻的設(shè)置并重新啟動(dòng)防火墻
#service iptables save
#service iptables restart
希望高手能幫忙指正一下錯(cuò)誤，并幫以改正，謝謝。

ji.hf_space

希望高人能幫幫忙，自己先頂起來(lái)！

marsaber

nat的效果會(huì)好一些。
樓主的防火墻規(guī)則很強(qiáng)悍��！
沒(méi)搞過(guò)這么嚴(yán)格的規(guī)則。

感覺(jué)到很多問(wèn)題，試問(wèn)一句：樓主的規(guī)則已經(jīng)應(yīng)用了嗎？

lth0721

#iptables –P INPUT DROP
#iptables –P OUTPUT DROP
#iptables –P FORWARD DROP
#iptables –t nat –P PREROUTING DROP
#iptables –t nat –P POSTROUTING DROP
#iptables –t nat –P OUTPUT DROP

..全部都drop了。。 估計(jì)用不起來(lái)吧。。

chenyx

在/etc/sysctl.conf中net.ipv4.ip_forward = 0
修改0為1,重啟就#echo 1 > /proc/sys/net/ipv4/ip_forward不用了
樓主的規(guī)則好嚴(yán)格,只允許http和443

ji.hf_space

我還沒(méi)有應(yīng)用，不摘掉都什么地方有問(wèn)題，希望指正一下！

ji.hf_space

我在全局下都DROP了，但是我用規(guī)則設(shè)置成允許了，這樣不可以嗎？

ji.hf_space

在/etc/sysctl.conf中net.ipv4.ip_forward = 0
修改0為1,重啟就#echo 1 > /proc/sys/net/ipv4/ip_forward不用了
樓主的規(guī)則好嚴(yán)格,只允許http和443


我試一下，謝謝了先！

marsaber

修改/etc/sysctl.conf確實(shí)是好方法！
（記得以前使用echo寫(xiě)1入/proc/sys/net/ipv4/ip_forward一直沒(méi)成功，耗了我四天時(shí)間）

假設(shè)你外網(wǎng)IP為1.2.3.4

#!/bin/bash
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.0.1:80
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 25 -j DNAT --to 192.168.0.2:25
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 443 -j DNAT --to 192.168.0.1:443
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 3306 -j DNAT --to 192.168.0.3:3306
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 22222 -j DNAT --to 192.168.0.4:22

至于樓主要求設(shè)置DMZ區(qū)，而又想實(shí)現(xiàn)10.10.0.0/24訪問(wèn)192.168.0.5，那就將192.168.0.5改成10.10.0.0/24內(nèi)的IP吧！這里顯然樓主不知道DMZ區(qū)的作用。

[ 本帖最后由 marsaber 于 2009-3-16 14:11 編輯 ]

ji.hf_space

不好意思九樓的兄弟，我沒(méi)有看明白你表達(dá)的意思，能再詳細(xì)的指導(dǎo)一下嗎？