linux下用iptables搭建DMZ网络V1.1

需求:
1.局域网所有电脑禁用访问外网
2.解决上网问题
3.保证内网数据安全
4.网上查找的资料方便局域网使用

解决方法:
1.使用linux搭建DMZ网络
2.在dmz网络里面用win2003终端服务实现上网
3.内网只能访问dmz的终端服务
4.dmz网络不能访问内网
5.网上查找的资料放在win2003终端服务器共享上,只允许特殊权限用户访问,然后转发
6.内网数据安全,设置bios密码,禁用usb/光驱,只允许硬盘引导(略)

环境:
linux防火墙    eth0 192.168.5.1(dmz)    eth1 192.168.1.45(接内网)
win2003终端1    eth0 192.168.5.10(dmz)
win2003终端2    eth0 192.168.5.11(dmz)
win2003终端3    eth0 192.168.5.12(dmz)

1.linux防火墙配置
vi /root/bin/iptables_dmz.sh

[php]
#!/bin/bash
#power by hugwww 2010-12-23 admin@gaojinbo.com
#DMZ网络eth0    192.168.5.x
#内网eth1       192.168.1.45
#共2张网卡,内网和外网都通过eth1 192.168.1.45
##加载相应模块
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
##启用IP转发
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_forward
##重置表规则
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
##重置链规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#设置只允许DMZ访问外网
iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -d 0/0 -o eth1 -j SNAT –to 192.168.1.45
##允许内网访问DMZ区192.168.5.0/24的3389,21,20,60001-60050端口
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.5.0/24 -p tcp –dport 3389  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.5.0/24 -p tcp –dport 60001:60050  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.5.0/24 -p tcp –dport 21  -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.5.0/24 -p tcp –dport 20  -j ACCEPT
#允许DMZ网络PING外网
iptables -A FORWARD -s 192.168.5.0/24 -d ! 192.168.1.0/24 -p icmp -j ACCEPT
##LINUX机器上SSH策略,内网可以通过eth1.
iptables -A INPUT -i eth1 -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp –sport 22 -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
##为DMZ开启相应端口,禁止访问192.168.1.0/24
iptables -N YLMF-RH
iptables -A YLMF-RH -p tcp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 80 -j ACCEPT
iptables -A YLMF-RH -p tcp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 53 -j ACCEPT
iptables -A YLMF-RH -p udp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 53 -j ACCEPT
iptables -A YLMF-RH -p udp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 20 -j ACCEPT
iptables -A YLMF-RH -p tcp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 21 -j ACCEPT
iptables -A YLMF-RH -p tcp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 25 -j ACCEPT
iptables -A YLMF-RH -p udp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 25 -j ACCEPT
iptables -A YLMF-RH -p tcp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 110 -j ACCEPT
iptables -A YLMF-RH -p udp -s 192.168.5.0/24 -d ! 192.168.1.0/24 –dport 110 -j ACCEPT
iptables -A YLMF-RH -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j YLMF-RH
iptables -A INPUT -j YLMF-RH
iptables -A OUTPUT -j YLMF-RH
#done

[/php]

2.win2003终端配置(略)

完成!

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 65 queries in 0.391 seconds