Linux路由器的架设
在此拓扑中,整个网络分为两个网段,192.168.1.0/24为外网办公区,192.168.2.0/24为存放服务器的DMZ区,由硬件路由器route B、linux route A和两个交换机组成。外网办公区直接经过route B连接到Internet,DMZ服务器区先经过linux route A连接到外网办公区的switch上,在连接到route B进入Internet。
Linux route A为DMZ区的服务器提供了更安全的网络环境,可以在linux route A上使用iptables来保证DMZ服务器的安全。
Route B和linux route A都有两个ip地址,起到路由转接的作用。
网络连通的路由配置:
1、 linux route A的设置
(1)设置对应的ip地址
/etc/sysconfig/network-scripts/ifcfg-eth0 ifcfg-eth1
service network restart
(2)开启linux系统ip转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
2、 route B的设置
配置路由器的两个ip地址,并做NAT转换
3、 DMZ区服务器的设置
配置网卡地址
/etc/sysconfig/network-scripts/ifcfg-eth0
service network restart
此时DMZ区的服务器已经能进入Internet了,但由于route B并没有连接到192.168.2.0的路由规则,当数据从Internet回传时会丢失;因此要在route B上增加一条路由,指定的网段是192.168.2.0/24,gw为linux route A的eth0 192.168.1.5
4、在route B上增加路由
假设route B为linux系统,增加路由规则:
route add –net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.5
设置完成后,Internet数据的回传就可到达DMZ区
5、pc与DMZ服务器的互通
到此为止,pc与DMZ服务器已经可以互通,pc---route B---linux route A---DMZ服务器
此时pc与DMZ服务器的互通需要经过两个路由器,网络开销大,不够优化
在pc上增加去往DMZ服务器的路由:
route add –net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.5
这样pc去往DMZ服务器的数据将先给到指定的路由地址192.168.1.5,即linux route A的eth0接口,由于linux route A开启的路由转发功能,所以linux route A可以将数据包转发给DMZ服务器。
注:此实验只是为介绍在网络环境中使用linux 增加路由概念的理解,在实际的网络环境中,DMZ区的服务器会有详细的安全设置,linux route A作为DMZ的前端也会做详细的iptables防火墙设置,当然,办公区的pc一般不会使用linux,也就无设置到DMZ的路由之说。