当前位置:theitroad>Linux非军事区(DMZ)以太网接口要求和配置

Linux非军事区(DMZ)以太网接口要求和配置

时间:2020-01-09 10:41:26  来源:igfitidea点击:

问题描述:您能告诉我有关典型DMZ实施的Linux非军事区和以太网接口卡要求的更多信息吗?
如何设置规则以将流量路由到DMZ上用于HTTP或SMTP的某些计算机?

说明:
非军事区(DMZ),用于保护内部网络免受外部访问。
您可以使用Linux防火墙轻松创建DMZ。
有多种使用DMZ设计网络的方法。
基本方法是使用带有3个以太网卡的单个Linux防火墙。
以下简单示例讨论了DMZ设置以及将公共流量转发到内部服务器的问题。

DMZ设置示例示例

考虑以下具有3个NIC的DMZ主机:

  • 带有192.168.1.1专用IP地址的eth0内部局域网~桌面系统
  • 带有192.54.1.1公用IP地址的eth1 WAN已连接到ISP路由器的WAN
  • 带有192.168.1.1专用的eth2 IP地址DMZ连接到Mail/Web/DNS和其他专用服务器

在公共和DMZ服务器之间路由流量

若要设置将所有传入SMTP请求路由到IP地址192.168.1.2和端口25的专用邮件服务器的规则,网络地址转换(NAT)调用PREROUTING表将数据包转发到正确的目的地。

这可以通过适当的IPTABLES防火墙规则来完成,以在LAN到DMZ和公共接口到DMZ之间路由流量。
例如,所有来自Internet(192.54.1.1)的传入邮件通信都可以使用以下iptables预先路由规则(假定默认设置为DROP all all firewall policy)发送到DMZ邮件服务器(192.168.1.2):

### end init firewall .. Start DMZ stuff ####
# forward traffic between DMZ and LAN
iptables -A FORWARD -i eth0 -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# forward traffic between DMZ and WAN servers SMTP, Mail etc
iptables -A FORWARD -i eth2 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Route incoming SMTP (port 25 ) traffic to DMZ server 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.54.1.1 --dport 25 -j DNAT --to-destination 192.168.1.2

# Route incoming HTTP (port 80 ) traffic to DMZ server load balancer IP 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.54.1.1 --dport 80 -j DNAT --to-destination 192.168.1.3

# Route incoming HTTPS (port 443 ) traffic to DMZ server reverse load balancer IP 192.168.1.4
iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.54.1.1 --dport 443 -j DNAT --to-destination 192.168.1.4
### End DMZ .. Add other rules ###

其中:

  • -i eth1:WAN网络接口
  • -d 192.54.1.1:Wan公网IP地址
  • dport 25:SMTP流量
  • -j DNAT:使用的DNAT目标使用to-destination设置数据包的目标地址
  • --to-destination 192.168.1.2:邮件服务器的IP地址(专用IP)

多端口重定向

您还可以使用多端口iptables模块来匹配一组源端口或目标端口。
最多可以指定15个端口。
例如,将传入的HTTP(端口80)和HTTPS(端口443)流量路由到WAN服务器负载平衡器IP 192.168.1.3:

iptables -t nat -A PREROUTING -p tcp -i eth1 -d 192.54.1.1 -m multiport --dport 80,443 -j DNAT --to-destination 192.168.1.3

缺点

上面的设计有一些缺点:

  • "单点故障"防火墙成为网络的单点故障。
  • 硬件防火墙主机必须能够处理进入DMZ以及内部网络的所有流量。

相关推荐

Linux静态IP地址配置

Linux静态IP地址配置

Linux在中央日志服务器上配置Logwatch

Linux在中央日志服务器上配置Logwatch

Linux配置Intel 4965 PRO无线卡

Linux配置Intel 4965 PRO无线卡

Linux将Sendmail配置为SMTP邮件客户端(提交MTA)

Linux将Sendmail配置为SMTP邮件客户端(提交MTA)