搭建基于netfilter/iptables的防火墙实验环境

　　硬件平台：

　　① R.H linux9.0系统pc一台（FireWall）三个8139 TP-LINK 网卡

　　Eth0(IP：218.197.93.115)

　　Eth1(IP：192.168.1.1)

　　Eth2(IP：192.168.2.1)

　　② R.H linux9.0系统pc一台B（SERVER）一个8139 TP-LINK 网卡

　　C（IP：192.168.1.2）

　　③ 笔记本A一台双系统（windows Xp和R.H linux9.0）一个8139网卡，Cute-ftp软件一套

　　A（IP：192.168.2.2）

　　④windows Xp系统pc一台一个8139网卡,Cute-ftp软件一套

　　B（IP：218.197.93.161）

　　⑤RJ45交叉线若干

　　实验目的：

　　一> 实现FireWall的NAT功能让A能访问WAN（218.197.93.254）

　　二>在SERVER上开启ftp,web服务（简单的）使得A,B正常访问C

　　三>开启防火墙

　　1. 内网可以访问外网

　　内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。

　　2. 内网可以访问DMZ

　　此策略是为了方便内网用户使用和管理DMZ中的服务器。

　　3. 外网不能访问内网

　　很显然，内网中存放的是内部数据，这些数据不允许外网的用户进行访问。

　　4.外网可以访问DMZ

　　DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

　　5.DMZ不能访问内网

　　很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。

　　6.DMZ不能访问外网

　　DMZ中的服务器专门用于给外界提供服务的，所以外网必须可以访问DMZ，而DMZ中的服务器则不允许主动访问外网。

　　实验步骤：

　　一>实现路由功能：

　　首先来配置eth0。给这个网络接口分配地址218.197.93.115，运行下列命令：