基于LINUX的DMZ区部署示例.pdf

基于 LINUX 的DMZ 区部署示例 niao5929 摘要 ：本文使用 Linu 提供的 iptables 以及在Linu 上安装 pptpdVPN 服务器软件提供 的PPPOE 服务，实现了在企业网中对隐藏服务器的访问能力和进行互连网访问的透明代 理。解决了同一物理网内对部分重要服务器的分层访问问题，以及随着业务发展部署门户 网站需要考虑的安全访问问题。 关键词：Linux 防火墙 服务器 客户端 VPN 本文使用 Linu 提供的 iptables 以及在 Linu 上安装 pptpdVPN 服务器软件提供的 PPPOE 服务，实现了在企业网 中对隐藏服务器的访问能力和进行互连网访问的透明代理。 一、软件环境及功能： 防火墙一：操作系统为 Red Hat Enterprise Linu Server release 5.2 (Tikanga),主要提供 DMZ 区的互连网访 问能力，同时转发防火墙二的互连网访问数据。 防火墙二：操作系统为 Fedora10，主要提供企业内网 的VPN 服务，并转发企业内网对 DMZ 区及互连网的访问数 据。 二、配置实例： 1 、防火墙一配置： 1）将 eth0 网卡网线于ADSL MODEM 相连，并培植好 ppp 拨号连接。 2）将 eth1 网卡网线于 DMZ 区交换机相连，并配置 DMZ 区 IP 地址，如图 IP ：7 ，子网掩码： 3）使用 echo 1 /proc/sys/net/ipv4/ip_forward 打 开 Linux 内核的IP 转发功能。 4）使用 iptables -t nat -A POSTROUTING -o ppp0 -s 6 -j MASQUERADE 对 6 进行 NAT 转 发。 5）使用 iptables -t nat -A POSTROUTING -o ppp0 -s -j MASQUERADE 对 进行 NAT 转发。 6)在防火墙配置文件/etc/sysconfig/iptables 中添加 如下行： -P FORWARD DROP -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -s 6 -j ACCEPT -A FOEWARD -s -j ACCEPT 注释掉如下行： #-A FORWARD -j REJECT --reject-with icmp-host- prohibited 以上配置中的规则允许6 及 的数 据包通过防火墙进行双向转发。 2 、防火墙二配置： 1）将 eth0 网卡网线于企业内网交换机相连，并配置 内网 IP 地址，如图 IP ：6 ，子网掩码： 2）将 eth1 网卡网线于 DMZ 区交换机相连，并配置 DMZ 区 IP 地址，如图 IP ：6 ，子网掩码： 3）将防火墙二的默认网关设置为：7 4）下载 pptpd-1.3.4.tar.gz，使用tar 命令将包解压， 使用./configure;make;make install 进行编译安装。 5）配置pptpdVPN 服务器： a 、使用vi /etc/pptpd.conf，输入如下内容： speed 115200 option /etc/ppp/pptpd-options debug localip PPTPD （ 服务器网关地址） remoteip -3 PPTPD （ 客户端地址） enable chap b 、使用vi /etc/ppp/pptpd-options，输入如下内容： lock debug bsdcom