0

我正在尝试实现三足防火墙,但我的 DMZ 的 iptables 规则没有按预期工作。

三腿防火墙是具有 3 个 NIC 的防火墙。一个用于路由器,一个用于 DMZ,一个用于 LAN。

我的 DMZ 网络位于与 LAN 分开的另一个网络上。防火墙和 DMZ 之间存在路由规则。

Firewall LAN NIC: 192.168.0.1
Firewall DMZ NIC: 192.168.100.1
DMZ Server IP: 192.168.100.12

DMZ 服务器网关是192.168.100.1

因此,作为一个 DMZ,我将允许从 Internet 到防火墙的所有连接到 DMZ,并且只禁止从 DMZ 到 LAN 的传出连接(以保证其安全),但允许传入的连接。但是我无法阻止所有传入/传出连接来测试 iptables 规则是否正确应用。

所以我尝试了(总是在防火墙中):

iptables -A FORWARD -s 192.168.100.12 -d 0.0.0.0 -j DROP
iptables -A FORWARD -d 192.168.100.12 -s 0.0.0.0 -j DROP

但我仍然可以 RDP 到服务器、导航等等。

好吧,也许是输入/输出:

iptables -A INPUT -s 192.168.100.12 -j DROP
iptables -A OUTPUT -d 192.168.100.12 -j DROP

但它是一样的。

结果,我无法阻止与我的 DMZ 服务器的所有连接,这证明我的规则根本不起作用。

我不是网络人,而是程序员,所以我完全确定我糟糕的网络技能在这里如此失败。对此感到抱歉。

感谢您的帮助!

4

1 回答 1

0

好的。我想我解决了

iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -d 192.168.100.0/24 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -s 192.168.100.0/24 -i $dmz_i -j DROP

这是阻止访问防火墙(INPUT 规则)和 LAN(FORWARD 规则)的正确规则

谢谢!

于 2019-10-15T09:45:55.823 回答