【iptables 防火墙】-- DMZ功能

原创 已于 2025-06-04 17:43:30 修改 · 896 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #shell #网络

于 2024-11-07 10:30:57 首次发布

1、定义介绍

DMZ,是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
(百度百科的定义)

2、使用场景

一般对该功能有需求的多为企业用户,一般dmz多设为各类服务器使用。
该功能在设置页面一般如下:
dmz设置页面

3、DMZ实现

首先明确的是其主要作用就是将所有访问本设备的流量都转发到DMZ主机的IP,所以我们主要就是使用iptables做一个数据转发
示例具体如下:

#DMZ主要规则
iptables -w -t nat -A PREROUTING -i wan_iface -j DNAT --to-destination 192.168.3.5
#内部网络与DMZ服务器进行隔离,保证安全
iptables -w -A FORWARD -s 192.168.3.5 -d 192.168.3.0/24 -j DROP

这样做就能将所有来自wan侧的访问全部都导向下挂ip为192.168.3.5的设备,从而实现DMZ的功能。

4、nat_loopback优化

dmz开启后,外部访问能够正常转发到内网的服务器(192.168.3.5),如果此时内网另一台设备A(192.168.3.10)想要访问服务器,他有两种方式

  1. 直接通过内网ip访问,此时数据包直接走网桥上转发,功能正常
  2. 通过wan ip(10.19.244.115)访问,此时就会出现无法联通的问题。

当设备A通过wan ip 去访问的时候,数据包会直接访问路由器,不会走wan侧出去。这里就需要增加nat_loopback规则来实现内网设备访问wan ip依旧可以转发到DMZ服务器

#LAN→公网IP的DNAT
iptables -w -t nat -A PREROUTING -d 10.19.244.115 -i br-lan -j DNAT --to-destination 192.168.3.5
#LAN→DMZ的SNAT
iptables -w -t nat -A POSTROUTING -s 192.168.3.0/24 -d 192.168.3.5 -j SNAT --to-source 192.168.3.1
网络安全之道:DMZ与端口转发有啥区别?
网络技术联盟站
01-11 2219
通过本文的介绍,我们深入了解了DMZ和端口转发这两个网络安全和应用配置中的重要概念。DMZ网络中扮演了重要的缓冲带角色,既确保了对外服务的可用性,又有效地隔离了来自外部的潜在威胁。端口转发通过设置网络设备的规则,将外部网络的请求定向到内部网络的特定主机或服务。这一技术为远程访问、个人服务器搭建等提供了便利。结合DMZ和端口转发,可以实现更灵活的网络架构。DMZ中部署公共服务,通过端口转发映射外部请求,不仅提高了网络的可用性,也增强了网络的安全性。
防火墙dmz实验
一起努力共同进步,为了未来一起奋斗吧!
12-02 1610
防火墙dmz
【全网最全DMZ区详解】从原理到实战,手把手教你构建企业网络第一道防线!
Aishenyanying33的博客
05-29 2928
在企业网络安全体系中,DMZ区(非军事区)可谓是网络防护的第一道门槛,正确构建与防护DMZ区,是防止外部入侵、保护核心数据的关键! 这篇文章将从原理、功能、安全风险到实战部署,手把手教你构建一个安全、可靠的DMZ区环境。
DMZ网络安全基础知识
最新发布
KP_0x01的博客
07-22 1303
DMZ(Demilitarized Zone,非军事区)是位于企业内部网络和外部互联网之间的,专门用于放置需要对外提供服务的服务器。就像军事缓冲区一样,DMZ网络中创建了一个"中立地带",既能让外部用户访问必要服务,又能有效保护内部核心网络的安全。🛡️:内外网流量必须经过DMZ🌐:托管Web、邮件等对外服务🔒:即使DMZ被攻破,内网仍受保护典型的DMZ网络架构示意图。
iptables构建简单DMZ防火墙
Celeste7777的博客
07-19 3028
说明:一般被保护的内部网络可分成两部分,一部分是内部通讯区,只允许内部用户访问,绝对禁止外部用户访问,另一部分是停火区DMZ,对外提供有条件的服务。前者是系统的核心子网,后者易受到外部的攻击,是一个比较危险的子网环境。一方面要求严格保护内部子网,另一方面又要满足DMZ对外提供服务的需要,因此,必须采用分别保护的策略,对上述两个区域进行保护。两个区域要尽量独立,即使DMZ受到外部攻击,内部子网仍处于防
linuxiptables/netfilter搭建DMZ[转]
杀出条血路来
03-08 5092
防守在网络安全中的重要性不必多说。保护网络最常见的方法就是使用防火墙防火墙作为网络的第一道防线,通常放置在外网和需要保护的网络之间。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。这对
iptables防火墙详解
Linux运维老纪的博客
07-28 1125
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
Linux之彻底掌握防火墙-----安全管理详解
小峰编程
04-23 1722
基于Linux防火墙介绍,分类:软、硬件防火墙,四表五链(五表五链),iptables的介绍和应用,firewalld的介绍和应用,iptables和firewalld实现本机端口的转发,实现跨主机的端口转发,实现SNAT和DNAT。
Linux防火墙--IPtables配置策略思路
「 虚幻私塾」
01-12 585
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475阅读目录 一、防火墙简介 二、IPtables介绍 三、iptables包过滤流程 iptables工作流程 四、iptables的4表5链作用关系及工作原理 1.tables四表的作用 2.chains链的作用 五、iptables安装 1.关闭selinux
Linux防火墙-----iptables与firewalld
qq_42761527的博客
12-09 768
一.netfilter、iptables、firewalld的概念 netfilter netfilter位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”。 netfilter的主要工作模块位于内核,在网络层的五个位置(prerouting,posrouting,input,output,forware)注册了一些函数,用来抓取函数包 把数据包的信息拿出来匹配各个链位...
40、 防火墙--博客
m0_74149099的博客
06-28 841
增加自定义链更改自定义链名称删除自定义链下规则—清除自定义链向自定义链中添加规则,添加与iptables规则一样更改自定义链名称向自定义链中添加规则,添加与iptables规则一样删除自定义链下规则—清除自定义链。
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
Iptables实现 DMZ 区域的服务器简单的发布策略
weixin_33691817的博客
08-08 468
发布DMZ 内部的服务器,能够使INTERNET 客户机访问DMZ 内的邮件服务、网站、FTP,等服务器,使内部的主机能够连接到INTERNET 发送外网邮件;拒绝不正常的连接和***的***。   二 、主机配置: 具体的配置文件: 主机名:iptables.bdqn.com /etc/hosts  /etc/sysconfig/network  内部接口:eth0 IP 19...
防火墙术语详解:DMZ
老汉--小庙和尚
09-27 3250
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有
DMZ区(收藏)
cuiqi1238的博客
10-26 399
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业...
防火墙DMZ
qq_39636932的博客
09-27 4018
举例说明 DMZ是为了解决安装bai防火墙后外部网络不能访问内du部网络服务zhi器的问题,而设立的一个非dao安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。 另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有外部网络
防火墙DMZ接口
weixin_43161620的博客
08-15 1958
DMZ是非军事化区域的意思,是不安全的区域,为了安全,防火墙可以让内网主动发起对外网的访问,而阻止外网主动发起对内网的防问。对于需要被外网访问到的服务器如WEB,FTP,MAIL等,则由于上述原因而不能被外网访问。所以需要这样一个区域,将WEB,FTP,MAIL等和其他内网服务器分开,使其可以被外网主动访问,但又不会把所有内网暴露给外网。这个区域就是DMZ。 ...
Linux服务--iptables之nat转发和构建简单的DMZ防火墙
weixin_34087503的博客
10-07 1025
iptables之nat转发和构建简单的DMZ防火墙一.NATiptables中的nat表:nat:NetworkAddressTranslation:NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的***,隐藏并保护网络内部的计算机.nat有三种实现方式:SNAT,DNAT和端口多路复用OverLoad在了解Nat工作原理之前先了解一下私网...
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4892
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值