收藏
下载资源

2022年防火墙和代理服务器设置规划 .pdf

上传人:Q****o 文档编号:28059974 上传时间:2022-07-26 格式:PDF 页数:6 大小:179.90KB
返回 下载 相关 举报
2022年防火墙和代理服务器设置规划 .pdf_第1页
第1页 / 共6页
2022年防火墙和代理服务器设置规划 .pdf_第2页
第2页 / 共6页
点击查看更多>>
资源描述

《2022年防火墙和代理服务器设置规划 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙和代理服务器设置规划 .pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、防火墙和代理服务器设置规划1.Firewall 设计目标:通过一个脚本实现内网对外发布服务器,benet局域网透明代理上网,允许 VPN,SSH,DNS,DHCP,WWW,FTP,SNMP,POP3.POP3S,IMAP,IMAPS,SMTP通过,其它拒绝。环境: iptables:200.0.0.1(外网卡 )192.168.200.254(内网卡 ) 脚本设计原则:先拒绝后允许,先写明确条目,后宏观。一定注意顺序。#vi MY_Firewall.sh #!/bin/bash #MY_Firewall.sh #auth:ajian #date:2007.5.15 # #Set variabl

2、e IPT=/sbin/iptables INET_DEV=eth0 INET_IP=200.0.0.1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - LAN_DEV=eth1 LAN_IP=192.168.200.254 LAN_WWW1=192.168.200.1 LAN_WWW2=192.168.200.2 LAN_MAIL=192.168.200.3 # # Needed to initially load modul

3、es #/sbin/depmod -a #Load module /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_gre /sbin/modprobe iptable_filter /sbin/modprobe ipt_state /sbin/modprobe ip_tables /sbin/modprobe ip_nat_irc /sbin/modprobe ip_connt

4、rack_irc # # # /proc set up. # # Required proc configuration # echo 1 /proc/sys/net/ipv4/ip_forward #名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - # #clear and flush rule $IPT -F $IPT -X $IPT -t nat -X $IPT -t nat -F #Set default policy,a

5、ll drop $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT #start set chain# # #1.set allowed ports (SSH,DNS,DHCP,WWW,FTP,SNMP,POP3.POP3S,IMAP,IMAPS,SMTP) $IPT -A INPUT -p tcp -m multiport -dpo

6、rt 22,80,546,547 -i $INET_DEV -j ACCEPT $IPT -A FORWARD -p tcp -m multiport -dport 20,21,22,995,143,993,465,3306,546,547 -j ACCEPT $IPT -A INPUT -p udp -m multiport -dport 53,22,80,546,547 -i $INET_DEV -j ACCEPT $IPT -A FORWARD -p udp -m multiport -dport 53,20,21,22,995,143,993,465,3306,546,547 -j A

7、CCEPT #$IPT -A OUTPUT -p tcp -m multiport -dport 53,22,80,546,547 -o $INET_DEV 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - -j ACCEPT # #2.allow vpn access $IPT -A INPUT -p tcp -m multiport -dport 1723,500,47 -i $INET_DEV -j ACCEPT $IPT

8、-A FORWARD -p tcp -m multiport -dport 1723,500,47 -j ACCEPT #$IPT -A OUTPUT -p tcp -m multiport -dport 1723,500,47 -i $INET_DEV -j ACCEPT $IPT -A INPUT -p gre -j ACCEPT $IPT -A FORWARD -p gre -j ACCEPT #$IPT -A OUTPUT -p gre -j ACCEPT # NAT # #3.DNAT $IPT -t nat -A PREROUTING -i $INET_DEV -p tcp -dp

9、ort 80 -j DNAT -to $LAN_WWW1-$LAN_WWW2 $IPT -t nat -A PREROUTING -i $INET_DEV -p tcp -dport 110 -j DNAT -to $LAN_MAIL $IPT -t nat -A PREROUTING -i $INET_DEV -p tcp -dport 25 -j DNAT -to $LAN_MAIL # 4.Transparent Proxy $IPT -t nat -A PREROUTING -i $LAN_DEV -p tcp -dport 80 -j REDIRECT -to-port 3128 #

10、 5.SNAT or MASQUERADE #- $IPT -t nat -A POSTROUTING -o $INET_DEV -j SNAT -to $INET_IP #-名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - - - - - - #$IPT -t nat -A POSTROUTING -o $INET_DEV -j MASQUERADE # #6.set the popular chains #ESTABLISH $IPT -A

11、INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state -state ESTABLISHED,RELATED -j ACCEPT #LOOPBACK(It is important ,example vpn) $IPT -A INPUT -d 127.0.0.1 -j ACCEPT #$IPT -A OUTPUT -s 127.0.0.1 -j ACCEPT # # END # 完成脚本后将脚本放到/etc/rc.d下#mv MY_Firewall.sh /etc/rc.d #chmod u+x

12、/etc/rc.d/MY_Firewall.sh /给与执行权限#./MY_Firewall.sh可以执行或者 bash MY_Firewall.sh 2.SQUID 设计目标: A、代理 Benet 局域网上网,实现只允许192.168.200.0/24的网段代理,其它网段不允许。A、 控制客户端上网时间。B、 实现透明代理。修改配置文件#vi /etc/squid/squid.conf A、代理一个网段(53) http_port 3128 acl mynetwork src 192.168.200.0/255.255.255.0 http_access allow mynetwork h

13、ttp_access deny !mynetwork 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - B、控制客户端的上网时间: acl allowed_clients src 192.168.200.0/255.255.255.0 acl regular_days time MTWHF 10:00-16:00 /MTWHF周一到周五http_access allow allowed_clients regular_days h

14、ttp_access deny !allowed_clients C、实现透明代理的:( 在 http_port后添加 ) httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_use_host_header on 然后运行 /etc/rc.d/init.d/squid reload 使设置生效。注意:防火墙中要添加了这条( 之前的脚本中已经加入了) iptables -A PREROUTING -t nat -i eth1 -p tcp -dport 80 -j REDIRECT -to-port 3128 这样客户机访问外部网络的请求就重定向工作在3128 端口的 squid 处理。就实现了透明代理,客户不会感觉在访问squid服务器,就像直接访问外部的网络。最后: #squid Z / 创建缓存目录#service squid restart /重启服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术总结

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁