使用Iptables实现 DMZ 区域的服务器简单的发布策略

发布DMZ 内部的服务器,能够使INTERNET 客户机访问DMZ 内的邮件服务、网站、FTP,等服务器,使内部的主机能够连接到INTERNET 发送外网邮件;拒绝不正常的连接和黑客的攻击。

二 、主机配置:

具体的配置文件:

主机名:iptables.bdqn.com

/etc/hosts  

/etc/sysconfig/network  

内部接口:eth0 IP 192.168.10.2/24

/etc/sysconfig/network-scripts/ifcfg-eth0

公共接口:eth1 IP 202.202.202.100/24

/etc/sysconfig/network-scripts/ifcfg-eth1

三 、IPTABLES 防火墙的具体配置

安装iptables的软件包,RedHat系统已经默认安装

具体的配置规则如下:

首先打开内核的转发功能:echo “echo 1 > /proc/sys/net/ipv4/ip_forward”> /etc/rc.d/rc/local

iptables -F 清空 此表中的规则

iptables -X 清空 此表中的自定义规则

iptables -Z 清空 此表中的计数器为0

Netfilter 表的配置:

1. iptables –P INPUT DROP

2. iiptables –P OUTPUT DROP

3. iptables –P FORWARD ACCEPT

4. Iptables –A –p icmp –i eth1 –j DROP

5. iptables -A -INPUT -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level INFO --log-prefix "IP INPUT packr\et died:"

6. iptables -A -FORWARD -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"

7. iptables -A -OUTPUT -m limit --limit 3/minute --limit-burst 3

-j LOG --log-level DEBUG --log-prefix "IP INPUT packr\et died:"

Nat 表的配置:

1. iptables  -t nat –P OUTPUT DROP

2. iptables  -t nat –P PREROUTING DROP

3. iptables  -t nat –P POSTROUTING DROP

4. iptables  -t nat –A POSTROUTING –o eth1 –s 192.168.10.0/24 –j SNAT --to 202.202.202.100

#转换 192.168.10.0 网段的地址到 公网地址接口

5. iptables  -t nat –A  PREROUTING  -i eth1 –p tcp –dport 80 –j DNAT  --to 192.168.10.5:80

#转换外部请求的www服务到 192.168.10.5这台www服务器上

时间: 2024-11-03 12:09:39

使用Iptables实现 DMZ 区域的服务器简单的发布策略的相关文章

管理-服务器简单算法,大转盘活动,中奖概率,靠谱吗????

问题描述 服务器简单算法,大转盘活动,中奖概率,靠谱吗???? public Integer getRand() { Integer result = null; int sum = 100;//后台可更改 int randomNum = new Random().nextInt(sum);// 随机生成1到sum的整数 if (randomNum == 1) { result = 1;// 一等奖 } else if (randomNum < 5) { result = 2; // 二等奖 }

js print打印网页指定区域内容的简单实例_javascript技巧

实例如下: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Co

Mac 下为 XCode 创建 Git 服务器 - 简单得不能再简单

Mac 下为 XCode 创建 Git 服务器 - 简单得不能再简单 太阳火神的美丽人生 (http://blog.csdn.net/opengl_es) 本文遵循"署名-非商业用途-保持一致"创作公用协议 转载请保留此句:太阳火神的美丽人生 -  本博客专注于 敏捷开发及移动和物联设备研究:iOS.Android.Html5.Arduino.pcDuino,否则,出自本博客的文章拒绝转载或再转载,谢谢合作. 占位预告,Git 完全是文件式的版本管理系统,即使通过网络也是一样的,只法这

阿里云windows服务器安全设置(防火墙策略)_win服务器

通过防火墙策略限制对外扫描行为 请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间. Window2003的批处理文件 @rem 配置windows2003系统的IP安全策略 @rem version 3.0 time:2014-5-12 netsh ipsec static add policy name=drop netsh ipsec static add filterlis

Ubuntu 8.10服务器版操作系统发布

Ubuntu 8.10服务器版本拥包括云运算.虚拟化.强化邮件服务器.Java开发及部署,以及更多可协助系统管理员及开发人员的服务,快速的发部周期让他们可迅速整合各种新功能,从而使得Ubuntu操作系统成为创新企业的最佳选择. 2008年10月29日国际报道,Ubuntu 8.10服务器版已经发布,并在原有基础之上增加了虚拟化,Java开发和系统管理等功能,通过诸多功能的增加来满足用户以及实下的技术需求. Ubuntu 8.04版本经过了长期的开源使用,让更多的用户体验到了Ubuntu的魅力所在

windows-Windows 2008 单内网卡,pptp服务器的Netscreen发布问题

问题描述 Windows 2008 单内网卡,pptp服务器的Netscreen发布问题 网络结构:Netscreen防火墙<------->Cisco核心交换机<------>内网pptp服务器(Windows 2008 R2 PPTP Server)内网测试可以成功拨入. 外网测试报错 无法在计算机与Vpn服务器之间建立Vpn连接,造成这种故障的最常见原因是计算机与Vpn之间至少有一个Internet设备(例如,防火墙或路由器)没有配置允许基本路由封装(GRE)协议数据包通过.

不可阻挡的PowerShell :Red Teamer告诉你如何突破简单的AppLocker策略

本文讲的是不可阻挡的PowerShell :Red Teamer告诉你如何突破简单的AppLocker策略,从目前的攻击发展趋势来看,攻击者已经比大多数防御者或系统管理员更喜欢使用PowerShell.像Powersploit,Veil Power *和Nishang这样的工具的一些常规功能已经被Red Team,Pentesters,恶意攻击者们所使用.随着这种演变以及将技术整合成一种单一的脚本语言,防御者能否发现一种方法来成功的阻止PowerShell的执行?当然,软件限制策略(SRP)或A

javaweb-在linux服务器上重新发布java项目运行的代码不是最新的

问题描述 在linux服务器上重新发布java项目运行的代码不是最新的 我在方法中加了print打印,重新编译后在本机运行可以打印出来内容,但是把class文件重新部署到服务器上就不行了,tomcat也重启了,服务器也reboot了,项目也重新部署了几次,但是执行的代码不是最新的,控制台也没输出打印的内容 解决方案 服务器不要有print输出语句,你想看结果就用日志,服务器不推荐用print

在一台服务器上同时发布tomcat网站和rails网站, LightTPD 如何配置域名?

问题描述 我想在一台服务器上同时发布tomcat网站和rails网站.域名里面不能带端口号,对吧.那我怎么能让www.mydomain.com 访问localhost:3000,而www.anotherdomain.com 访问localhost:8080.google了很久也没找到答案,各位大侠能否帮帮忙?万分感谢!!! 解决方案 $HTTP["host"] == "www.mydomain.com" {proxy.server = ( ""