Linux工程环境应用实训(防火墙、NAT、静态路由)需求
配置过程、演示录像、后继给出
档案编号ID:sec01
实训重点:因为Linux操作系统(企业版)在现代化的工业环境中应用越来越多、因为它天生具备比Windows更高的开放性、可移植性、安全性。所以在工业环境中网络管理员时常使用Linux来搭建边界网络服务器,比如防火墙、NAT等。在这个实训中的重点任务是使用Redhat Linux Enterprise版本来实现简单状态防火墙和NAT服务器的建设。
支持实训平台的环境:使用虚拟实验完成4个服务器(2台windows服务器)1台Redhat Linux Enterprise服务器、1台Redhat Linux客户端。
实训拓扑及描述:具体网络环境如下图1所示,网络环境被分为企业内部网络与Internet两部分组成,严格区分RFC1918地址和公共IP,在它们之间不能启动任何动态路由协议,因为在真实环境中即便是相互公告路由也没有任何意义,因为电信运营商决不可能让私有网络的路由发向Internet,当然每个企业边界访问Internet的一条必备的路由是允许的。
实训需求:
首先复位防火墙上的已经存在的规则、用户自定义的规则、所有“链”计数器。然后第一次打印iptales filter的状态,再复位NAT的所有规则,然后打印NAT状态(其目标在于实验前和实验后的效果好作对比)
配置基于Linux的NAT服务器,要求该服务器能将192.168.200.0/24子网翻译成out接口202.202.1.1去访问Internet,事实上是去执行一个SNAT的翻译配置,必须验证配置结果,使得企业内主机可以成功的访问Internet上的202.202.2.100的Web服务器。
使用iptables配置基本的防火墙策略:配置默认安全策略拒绝一切从外部世界主动INPUT的数据包,而允许OUTPUT和FORWARD数据包。将服务器的lo接口配置为受信接口,可以接收所有数据包,否则会出现Linux防火墙自己ping不通自己。
在Linux的防火墙上外挂状态模块(state),允许已经建立了连接,或者由防火墙主动发向外部,然后返回的数据包进入防火墙、配置防火墙防御TCP洪水攻击和ICMP洪水攻击(调用内核管理功能实现)。
要求Internet主机访问linux防火墙外部接口地址202.202.1.1的Web服务时,防火墙使用DNAT将202.202.1.1转换成192.168.200.100的80号端口应答,事实上,就是让企业内部的Web服务器对外部世界提供伺服功能,只是外部世界的主机看到的服务器IP地址是202.202.1.1而不是真实的192.168.200.100,必须测试外部主机成功访问内部的Web。
再次打印iptales filter和NAT的状态,对比配置前后的区别。
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1264834,如需转载请自行联系原作者
