当前位置: 技术问答>linux和unix
###高分求教###很急,请帮忙,谢谢。###
来源: 互联网 发布时间:2015-01-19
本文导语: 我如果想设置WWW包过滤以下规则对吗,请各位CHECK?! -------------------------------- 环境介绍 1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(...
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------------
环境介绍
1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(安全服务器),并设置了正确的DNS服务器地址。
2.)安全服务器上安装双网卡,通过第一块网卡eth0(202.96.199.133)连接因特网,第二块网卡eth1(192.168.0.1)作为网关连接内部网络。安全服务器上提供DNS解析服务,并配置起防火墙,防火墙提供为实现对从内部网络中任何发往因特网的数据包进行伪装,并对因特网发向内部网络的数据包按规则进行过滤。
3.)企业内部网络设有主服务器(192.168.0.250),提供WWW、Email、FTP服务。而当外部需要访问内部主服务器时,防火墙进行了特定的设置,其会转发这个数据包重写定位到内部主服务器上,而当内部主服务器生成回复包朝外发出经过防火墙时,包也将被重写。
访问过程
1.)内部网络上的一个用户192.168.0.100想通过IE访问 http://www.ecnu.edu.cn
2.)IE通过DNS解析"www.ecnu.edu.cn", 得到它的地址为 202.120.88.65 然后它使用端口1050与此地址建立一个连接, 并向 web 站点索取页面.
3.)当数据包由客户机(port 1050)通过防火墙送往ecnu.edu.cn(port 80) 时, 数据包被重写为由安全服务器上第一块网卡eth0(202.96.199.133)发出, 端口是 65000。防火墙完成地址的映射,将客户机(192.168.0.100)的地址映射为安全服务器的上eth0,由于拥有合法的IP地址, 所以从ecnu.edu.cn返回的包可以找到正确的返回路径.
4.)当包从ecnu.edu.cn(端口 80)来到安全服务器上第一块网卡eth0(端口 65000)后, 数据包被重写转发给客户机的1050端口。
5.)IP地址为192.168.0.100的客户机上的IE浏览器立即显示此页面。
--------------------------
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.1/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.0/24 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 202.96.199.133/32 www -d 0.0.0.0/0 1024: -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.1/32 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
--------------------------------
环境介绍
1.)内部网络地址为192.168.0.*,每台工作站的默认路由(网关)设定为指向防火墙(安全服务器),并设置了正确的DNS服务器地址。
2.)安全服务器上安装双网卡,通过第一块网卡eth0(202.96.199.133)连接因特网,第二块网卡eth1(192.168.0.1)作为网关连接内部网络。安全服务器上提供DNS解析服务,并配置起防火墙,防火墙提供为实现对从内部网络中任何发往因特网的数据包进行伪装,并对因特网发向内部网络的数据包按规则进行过滤。
3.)企业内部网络设有主服务器(192.168.0.250),提供WWW、Email、FTP服务。而当外部需要访问内部主服务器时,防火墙进行了特定的设置,其会转发这个数据包重写定位到内部主服务器上,而当内部主服务器生成回复包朝外发出经过防火墙时,包也将被重写。
访问过程
1.)内部网络上的一个用户192.168.0.100想通过IE访问 http://www.ecnu.edu.cn
2.)IE通过DNS解析"www.ecnu.edu.cn", 得到它的地址为 202.120.88.65 然后它使用端口1050与此地址建立一个连接, 并向 web 站点索取页面.
3.)当数据包由客户机(port 1050)通过防火墙送往ecnu.edu.cn(port 80) 时, 数据包被重写为由安全服务器上第一块网卡eth0(202.96.199.133)发出, 端口是 65000。防火墙完成地址的映射,将客户机(192.168.0.100)的地址映射为安全服务器的上eth0,由于拥有合法的IP地址, 所以从ecnu.edu.cn返回的包可以找到正确的返回路径.
4.)当包从ecnu.edu.cn(端口 80)来到安全服务器上第一块网卡eth0(端口 65000)后, 数据包被重写转发给客户机的1050端口。
5.)IP地址为192.168.0.100的客户机上的IE浏览器立即显示此页面。
--------------------------
我如果想设置WWW包过滤以下规则对吗,请各位CHECK?!
--------------------------
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.1/32 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 0.0.0.0/0 1024: -d 192.168.0.0/24 www -i eth0 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 202.96.199.133/32 www -d 0.0.0.0/0 1024: -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.1/32 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
/sbin/ipchains -A input -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
|
这位老大,你要设计防火墙么?
贴到绿盟看看吧
贴到绿盟看看吧
|
要做这些,这样写不够。
你只设置了accept,只进行了包过滤。
如果用iptables ,你可以这么做
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 25 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 110 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 21 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A POSTROUTING -s 192.168.0.250 -o eth0 -j SNAT --to-source 202.96.199.133
你只设置了accept,只进行了包过滤。
如果用iptables ,你可以这么做
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp -s 0.0.0.0/0 1024: -d 202.96.199.133/32 www -i eth0 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -i eth1 -j ACCEPT
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 25 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 110 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A PREROUTING -d 202.96.199.133 -p tcp --dport 21 -i eth0 -j DNAT --to-destination 192.168.0.250
iptables -t nat -A POSTROUTING -s 192.168.0.250 -o eth0 -j SNAT --to-source 202.96.199.133
|
这么底层的技术
真是高手啊
学习
真是高手啊
学习
|
怎么这边也有???
|
关注。
|
帮你up,能不能把你的论文都贴出来,让俺学习学习