我在 Virtual Box 中创建了以下网络:
Linux 内部 PC有 1 个静态 IP:10.10.10.2
Linux网关/防火墙有 2 个静态 IP 和 1 个 NAT:10.10.10.3|11.11.11.2|NAT网卡
Linux DMZ 服务器有 1 个静态 IP:11.11.11.3
目标:
1)互联网10.10.10.X和11.11.11.X 通过Linux网关。 (仅有的端口 80、443允许访问互联网,其他一切都阻止)
2)从 访问 DMZ 服务器10.10.10.X仅有的通过端口 22,80,443(Linux 网关阻止的其他所有内容
iptables 位于Linux网关我到现在为止是:
iptables -F
#Linux Gateway to Internet from 10.10.10.X
iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
iptables -A FORWARD -i enp0s3 -o enp0s8 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
#Linux Gateway to Internet from 11.11.11.X
iptables -A FORWARD -i enp0s9 -o enp0s3 -j ACCEPT
iptables -A FORWARD -i enp0s3 -o enp0s9 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Linux Gateway to DMZ
iptables -A FORWARD -i enp0s8 -o enp0s9 ACCEPT
iptables -A FORWARD -i enp0s9 -o enp0s8 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s9 -j MASQUERADE
#Allow only port 80,443 to Internet
iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT DROP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
编辑1
1)我启用了 ip_forward
2)接口是enp0s8为了Linux电脑,enp0s9为了非军事区,enp0s3为了互联网
我不确定它是否正确,而且我还必须添加对目的地为 DMZ 的端口的限制。