DNAT,DNS,LOG정책 설정

XP -> FW_CentOS -> internet
 
CentOS설정
[root@localhost Desktop]# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE
[root@localhost Desktop]# echo 1 > /proc/sys/net/ipv4/ip_forward
 
XP 외부 인터넷 접근 확인

WEBserver 설정
1.가상인터페이스를 만든다.
2.dnat을 설정 한다.
3.dnat을 적용하면 FW_centOS 인터페이스의 IP로 WEBserver 존재를 숨길 수 있다.
[root@localhost Desktop]# ifconfig eth2:1 192.168.53.224/24 up
//가상 인터페이스(웹서버의 IP로 사용할 예정)

PREROUTING 은 dnat의 역할
POSTROUTING 은 snat의 역할
[root@localhost Desktop]# iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -i eth2 -d 192.168.53.224 -j DNAT --to 172.16.0.100
[root@localhost Desktop]# iptables -t nat -L

BT -> FW_Centos -> WEBserver 확인

일반적으로 DMZ영역은 서버들이 모여 있다.
 
사용자 정의 체인을 만들어서 허용정책 만들기
DNS RULE
[root@localhost Desktop]# iptables -P INPUT DROP
[root@localhost Desktop]# iptables -P OUTPUT DROP
[root@localhost Desktop]# iptables -P FORWARD DROP

[root@localhost Desktop]# iptables -A INT_DNS -p udp --dport 53 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT
 
[root@localhost Desktop]# iptables -A INT_DNS -p udp --sport 53 -d 10.0.0.0/24 -m state --state ESTABLISHED -j ACCEPT

만든 FORWARD체인에 RULE을 적용
[root@localhost Desktop]# iptables -A FORWARD -j INT_DNS

WEB RULE만들기
[root@localhost Desktop]# iptables -N INT_WEB
 
LOG RULE 만들기
[root@localhost Desktop]# iptables -A INT_WEB -p tcp -m multiport --dport 80,443 -s 10.0.0.0/24 -m state --state NEW -m limit --limit-burst 10 --limit 10/m -j LOG --log-prefix "[INT_WEB]"
[root@localhost Desktop]# iptables -A INT_WEB -p tcp -m multiport --dport 80,443 -s 10.0.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT
[root@localhost Desktop]# iptables -A INT_WEB -p tcp -m multiport --sport 80,443 -d 10.0.0.0/24 -m state --state ESTABLISHED -j ACCEPT
[root@localhost Desktop]# iptables -A FORWARD -j INT_WEB
    
--state NEW : 들어온 정보만 로그에 남기기위해 설정
-m limit --limit-burst 10 --limit 10/m : 최초의 10개남기겠다 , 그다음번부터 1분당 10개를 남기겠다.
-j LOG --log-prefix "[INT_WEB]" : 로그기록에 햇갈리지 않게 "[INT_WEB]" 표시
 
 
XP에서 외부 인터넷 확인

CentOS에서 LOG확인