目标:模拟生产环境的基本拓扑,实现通过源地址转换内网多台主机公共一个IP地址访问互联网,并通过目标地址转换,把www等多个服务器放到互联中,并实现安全控制,基本拓扑结构如下:
在这个拓扑结构中来说,就是局域网中的机器都可以访问互联网中的Web1,局域网中的机器也可以访问Web2与内部FTP(电脑配置有限以www为例),外部的Web1看做客户端也可以访问Web2,并实现对访问进行一些控制,比如对FireA的ssh严格控制,以防攻破第一道墙。用两个防火墙的意义在于如果DMZ中的服务器被攻破而不会对内网造成影响,下面慢慢来说这个实验吧。
一,实验准备
1.1 用虚拟机模拟出4台安装了RedHat5.8的机器,分别对应Web1,FireA,Web2,FireB,真实的物理主机作为局域网中的一台机器,其中Fire的机器需要两块网卡。
1.2 根据拓扑结构图我们来配置虚拟机网卡需要的连接方式。
Web1:eth0 桥接
FireA:eth0 桥接; eth1 Host-only
Web2:eth0 Host-only
FireB:eth0 Host-only;eth1 桥接
1.3 根据拓扑图设置他们的IP地址,网关,路由等
Web1:eth0 IP:1.1.1.2/8 Gateway: 1.1.1.1
FireA:eth0 IP:1.1.1.1/8 eth1 192.168.1.1 Gateway:192.168.1.254
Web2:eth0 IP:192.16.1.2/24 Gateway:192.168.1.1
FireB:eth0 IP:192.168.1.254/24 eth1:172.16.1.1/16 Gateway:192.168.1.1
ifconfig eth0 1.1.1.2/8##设置IP
route add default gw 1.1.1.1##设置网关
1.4 Web1,Web2配置一个简单的站点。
这个此处就不在赘述。
1.5 打开FireA,FireB的转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
到此网络已经连通,主机之间可以相互访问,但是这在现实网络中是行不通的,因为公网的地址是不能访问私网地址的,这就用到了地址转换。