用iptables構(gòu)建DMZ防火墻

hackobe

用iptables構(gòu)建DMZ防火墻
zt ---http://www.nsfocus.net/index.php?act=magazine&do=view&mid=1129
用iptables構(gòu)建DMZ防火墻
一般被保護的內(nèi)部網(wǎng)絡(luò)可分成兩部分，一部分是內(nèi)部通訊區(qū)，只允許內(nèi)部用戶訪問，絕對禁止外部用戶訪問，另一部分是�；饏^(qū)DMZ，對外提供有條件的服務(wù)。前者是系統(tǒng)的核心子網(wǎng)，后者易受到外部的攻擊，是一個比較危險的子網(wǎng)環(huán)境。一方面要求嚴格保護內(nèi)部子網(wǎng)，另一方面又要滿足DMZ對外提供服務(wù)的需要，因此，必須采用分別保護的策略，對上述兩個區(qū)域進行保護。兩個區(qū)域要盡量獨立，即使DMZ受到外部攻擊，內(nèi)部子網(wǎng)仍處于防火墻的保護之下。
本文介紹利用Linux的iptables工具來建立一個具有DMZ的防火墻。  
一、軟硬件要求
充當防火墻的機器是一臺支持iptables的Linux系統(tǒng)，裝有三個網(wǎng)卡。
二、具體配置
步驟1：配置內(nèi)核
netfilter要求Linux內(nèi)核版本不低于2.3.5，在編譯新內(nèi)核時，要求選擇和netfilter相關(guān)的項目，這些項目通常都是位于“Networking options”子項下。
步驟2：環(huán)境構(gòu)造
這里給出一個用于測試的例子，實際應(yīng)用可根據(jù)具體的情況進行設(shè)置。
對外提供服務(wù)的內(nèi)部主機構(gòu)成一個停火區(qū)（假設(shè)分配的網(wǎng)段為192.168.1.0/24），防火墻的兩個網(wǎng)卡eth1、eth2分別通過hub1、hub2與�；饏^(qū)、內(nèi)部通訊區(qū)相連，另一個網(wǎng)卡eth0通過直連線（或hub）與路由器的網(wǎng)卡eth1相連，路由器的另一網(wǎng)卡eth0通過一個hub與外部通訊區(qū)相連。如圖所示。

路由器增加以下設(shè)置：
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.9.200.2
arp -i eth1 -Ds 192.168.1.1 eth1 pub
防火墻的設(shè)置為：
route add default gw 192.168.1.1
route add -host 192.168.1.1 gw 192.168.1.2
route add -net 192.169.1.0 netmask 255.255.255.0 gw 192.168.1.3 eth1
�；饏^(qū)主機的網(wǎng)關(guān)設(shè)為防火墻的網(wǎng)卡eth1地址192.168.1.3。
外部主機的網(wǎng)關(guān)設(shè)為路由器的外網(wǎng)卡eth0地址10.0.0.1。
內(nèi)部主機的網(wǎng)關(guān)設(shè)為路由器的內(nèi)網(wǎng)卡eth2地址168.1.1.1。
步驟3：建立規(guī)則
在防火墻上創(chuàng)建如下腳本并運行之。
#!/bin/sh
######## default firewall rules-deny all ########
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
###############################################
# Rules between EXTERNAL LAN and INTERNAL LAN #
###############################################
######## masquerade INTERNAL Address to xx.xx.xx.xx when going out ########
iptables -t nat -A POSTROUTING -s 168.1.1.0/24 -d 10.0.0.0/24 -o eth0 -j SNAT --to xx.xx.xx.xx
######## deny all from EXTERNAL LAN to INTERNAL LAN directly ########
iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 168.1.1.0/24 -i eth0 -j DROP
######################################
# Rules between DMZ and INTERNAL LAN #
######################################
######## allow INTERNAL LAN to DMZ ########
iptables -A FORWARD -p icmp -s 168.1.1.0/24 -d 192.168.1.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A FORWARD -s 168.1.1.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT
######## forbid DMZ to INTERNAL LAN except following instance ########
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 168.1.1.0/24 ! --syn -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --sport 20 -d 168.1.1.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 0 -s 192.168.1.0/24 -d 168.1.1.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.1.0/24 -d 168.1.1.0/24 --sport 53 -j ACCEPT
######################################
# Rules between EXTERNAL LAN and DMZ #
######################################
### allow EXTERNAL LAN to DMZ but deny all from EXTERNAL LAN to DMZ directly ###
iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 192.168.1.0/24 -i eth0 -j DROP
### REAL_XX is real address of XX server in DMZ ###
### MASQ_XX is the masquaded address of REAL_XX supplied to EXTERNAL LAN ###
######## allow DNS service ########
iptables -t nat -A PREROUTING -p udp -d MASQ_DNS -s 10.0.0.0/24 --dport 53 -i eth0 -j DNAT --to REAL_DNS
iptables -A FORWARD -p udp -s 10.0.0.0/24 -d REAL_DNS -i eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 10.0.0.0/24 -s REAL_DNS -i eth1--sport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d MASQ_DNS -s 10.0.0.0/24 --dport 53 -i eth0 -j DNAT --to REAL_DNS
iptables -A FORWARD -p tcp -s 10.0.0.0/24 -d REAL_DNS -i eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.0/24 -s REAL_DNS -i eth1 --sport 53 ! --syn -j ACCEPT
######## allow HTTP service ########
iptables -t nat -A PREROUTING -p tcp --dport 80 -d MASQ_HTTP -s 10.0.0.0/24 -i eth0 -j DNAT --to REAL_HTTP
iptables -A FORWARD -p tcp -s 10.0.0.0/24 -d REAL_HTTP -i eth0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.0/24 -s REAL_HTTP -i eth1 --sport 80 ! --syn -j ACCEPT
######## allow FTP service ########
iptables -t nat -A PREROUTING -p tcp --dport 21 -d MASQ_FTP -s 10.0.0.0/24 -i eth0 -j DNAT --to REAL_FTP
iptables -A FORWARD -p tcp -s 10.0.0.0/24 -d REAL_FTP -i eth0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s REAL_FTP -d 10.0.0.0/24 -i eth1--sport 20 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.0.0.0/24 -s REAL_FTP -i eth1--sport 21 ! --syn -j ACCEPT
．．．．．．
### You can add other services in DMZ here such as TELNET、SMTP、 POP3 & IMAP etc. ###
．．．．．．
######## deny DMZ to EXTERNAL LAN except to external smtp server ########
iptables -t nat -A POSTROUTING -p tcp --dport 25 -d 10.0.0.0/24 -s REAL_SMTP -o eth0 -j SNAT --to MASQ_SMTP
iptables -A FORWARD -p tcp -s REAL_SMTP -d 10.0.0.0/24 -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d REAL_SMTP -s 10.0.0.0/24 -i eth0--sport 25 ! --syn -j ACCEPT
通過以上步驟，具有DMZ的防火墻達到了以下目標：
1．內(nèi)部通訊區(qū)可以無限制的訪問外部通訊區(qū)以及DMZ，但訪問外部通信區(qū)時防火墻進行了源地址轉(zhuǎn)換。
2．外部通訊區(qū)可以通過對外公開的地址訪問DMZ的服務(wù)器，由防火墻完成對外地址到服務(wù)器實際地址的轉(zhuǎn)換。
3．外部通訊區(qū)不能訪問內(nèi)部通訊區(qū)以及防火墻。
4．DMZ不可以訪問內(nèi)部通訊區(qū)。
5．除外部通訊區(qū)郵件服務(wù)器外，DMZ不能訪問外部通訊區(qū)


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/6097/showart_36940.html