用Linux防火墙构建DMZ

核心提示： 对应的防火墙脚本片段如下：/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -d [分配给HTTP服务器的Internet上的真实IP] -s [外网地址] -i eth0 -j DNAT --to [HTTP服务器的实际IP]/s

对应的防火墙脚本片段如下：

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -d [分配给HTTP服务器的Internet上的真实IP] -s [外网地址] -i eth0 -j DNAT --to [HTTP服务器的实际IP]

/sbin/iptables -A FORWARD -p tcp -s [外网地址] -d [HTTP服务器的实际IP] -i eth0 --dport 80 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -d [外网地址] -s [HTTP服务器的实际IP] -i eth1 --sport 80 ! --syn -j ACCEPT

/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [DMZ地址] -i eth0 -j DROP

该防火墙脚本片段将开放HTTP服务，使得只有访问DMZ中HTTP服务的数据包才能通过防火墙。

5.DMZ不能访问内网

对应的防火墙脚本片段如下：

/sbin/iptables -A FORWARD -s [DMZ地址] -d [内网地址] -i eth1 -j DROP

以上命令将丢弃所有从DMZ到内网的数据包。

6.DMZ不能访问外网

对应的防火墙脚本片段如下：

/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 25 -d [外网地址] -s [邮件服务器的IP] -o eth0 -j SNAT --to [分配给SMTP服务器的Internet上的真实IP]

/sbin/iptables -A FORWARD -p tcp -s [邮件服务器的IP] -d [外网地址] -i eth1 --dport 25 -j ACCEPT

/sbin/iptables -A FORWARD -p tcp -d [邮件服务器的IP] -s [外网地址] -i eth0--sport 25 ! --syn -j ACCEPT

以上命令先允许DMZ中邮件服务器连接外网的SMTP服务端口(25)，然后禁止其它从DMZ发往外网的数据包。

针对以上基本策略例举了实现它们的基本规则。在实际应用中，需要根据具体情况进行设置。只要设置得当，Linux也能成为很好的防火墙。需要补充的是，无论何种防火墙都只能提供有限的保护。设置好防火墙不等于网络就是安全的，关键在于综合运用各种安全手段。