案例配置要求:
公司有三个部门:工程部门(2..10--2.20)、软件部门 ( 2.21--2.30)、经理办 (2.31--2.40)、
以及DMZ 区域(192.168.3.100)web服务器
上班时间 (周一---周五 08:00--18:00)
工程部门 上班时间仅能登录ftp,不能qq聊天,不允许http ,不能使用迅雷,下班后无限制
软件部门 可以使用http,不允许站点sina ,不允许使用迅雷 ,连接数 最多3个,,不允许看图片,不允许qq聊天,不允许使用pplive ,下班后无限制
经理办公室 http 、qq聊天都可以,下班后无限制
dmz区域:实现对www服务器的发布
周六、日任何部门都可以正常上网。
案例拓扑
案例分析:
1、针对工程部门,通过iptables+l7等模块实现控制;
2、软件部门、经理办公室,根据要求要通过squid与iptables+L7等模块结合实现;
3、周一到周五上班时间通过squid透明代理实现上网,下班后,通过nat实现上网;
4、周六、周日也通过squid透明代理实现上网,并不做任何限制。
注:squid透明代理实现过程:
当我们在客户端浏览器中打开一个web请求,比如“”,这时将陆续发生以下事件:
1.客户端向DNS请求“liuyuan51.blog.51cto.com”,得到相应的IP地址2.3.4.5。然后,客户端使用某一端口(比如1066)向该IP地址的80端口发起web连接请求,请求web页面。
2.当该请求包通过透明代理服务器时,被squid防火墙将该数据包重定向到代理服务器的绑定端口3128。于是,透明代理服务器用某一端口(比如1088)向2.3.4.5的80端口发起web连接请求,请求web页面。
3.收到响应的web页面后,代理服务器把该数据传送给客户端。
4.客户端浏览器显示该页面。
从liuyuan51.blog.51cto.com的角度看来,连接是在192.168.101.111地1088端口和2.3.4.5的80端口之间建立的。从client的角度看来,连接是在192.168.1.100的1066端口和2.3.4.5的80端口之间建立的。
案例配置过程:
1、地址规划:
防火墙:eth0: 192.168.101.111/24
eth1:192.168.2.1/24
eth2:192.168.3.1/24
工程部门 192.168.2.10--192.168.2.20
软件部门 192.168.2.21--192.168.2.30
经理办 192.168.2.31--192.168.2.40
DMZ 192.168.3.100 web服务器
2、首先开启路由功能
# vim /etc/sysctl.conf
7 net.ipv4.ip_forward = 1
#sysctl -p /etc/sysctl.conf //加载配置文件使更改生效
3、配置一条规则SNAT规则,实现可以正常访问外网
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
#--设置filter表的默认规则,拒绝所有---
iptables -P INPUT DROP
iptables -P OUTPUT DROR
iptables -P FORWARD DROP