搭建基于netfilter/iptables的防火墙实验环境

核心提示： 硬件平台： ① R.H linux9.0系统pc一台（FireWall）三个8139 TP-LINK 网卡Eth0(IP：218.197.93.115)Eth1(IP：192.168.1.1) Eth2(IP：192.168.2.1) ② R.H linux9.0系统pc一台B（SERVE

硬件平台：

① R.H linux9.0系统pc一台（FireWall）三个8139 TP-LINK 网卡

Eth0(IP：218.197.93.115)

Eth1(IP：192.168.1.1)

Eth2(IP：192.168.2.1)

② R.H linux9.0系统pc一台B（SERVER）一个8139 TP-LINK 网卡

C（IP：192.168.1.2）

③ 笔记本A一台双系统（windows Xp和R.H linux9.0）一个8139网卡，Cute-ftp软件一套

A（IP：192.168.2.2）

④windows Xp系统pc一台一个8139网卡,Cute-ftp软件一套

B（IP：218.197.93.161）

⑤RJ45交叉线若干

实验目的：

一> 实现FireWall的NAT功能让A能访问WAN（218.197.93.254）

二>在SERVER上开启ftp,web服务（简单的）使得A,B正常访问C

三>开启防火墙

1. 内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。

2. 内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3. 外网不能访问内网

很显然，内网中存放的是内部数据，这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网

很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

DMZ中的服务器专门用于给外界提供服务的，所以外网必须可以访问DMZ，而DMZ中的服务器则不允许主动访问外网。

实验步骤：

一>实现路由功能：

首先来配置eth0。给这个网络接口分配地址218.197.93.115，运行下列命令：