0%

利用防火墙构造内网环境

构建框架

外网:kali (192.168.152.132)
内网:win-serve2012(1.1.1.2)、win7(1.1.1.7)、winxp
防火墙:monowall(1.1.1.1 ,192.168.152.144)

monowall防火墙安装

  1. 需要2个网络适配器,一个内网主机模式一个桥接模式。网络适配器配置
  2. 首先我们需要将他装到硬盘里去,所以我们需要选择7 install on Hard Drive 接着会显示存在的硬盘,然后让我们选择一个进行安装,我们随便选一个都行。
  3. 记得把我们的光驱镜像关掉。

    monowall配置

    monowall配置
  4. 输入 1 来配置 网卡接口。我们没有vlans所以第一个选n
  5. 接着会要我们输入lan接口(内网接口名),我们也可以选择输入a来自动获取。
  6. 或者根据上面给的提示进行配置)我们查看虚拟机中对应网卡的mac,发现le0是内网接口。le1是外网接口。
  7. 最后配置如下:图片
  8. 然后会提示是否有其它网卡需要配置,我们这里只有2个网卡,直接回车就可以了。接着需要我们确认,我们y即可。
  9. 接下来我们输入2来配置ip地址,输入1.1.1.1子网掩码选择24,启用dhcp。范围我们可以输入1.1.1.101.1.1.100
  10. 其它选项字面意思好理解。

内网主机的配置

  1. 网卡设置为仅主机模式
  2. 接着我们在浏览器中输入防火墙的ip,进入配置。(用户名:admin 密码:mono)

monowall的防火墙rule配置

rule配置时的三种动作

  1. pass ,好理解放行。
  2. block , 堵塞。不让数据包通行且不会返回任何信息。DROP提供了更高的防火墙安全性和稍许的效率提高,但是由于DROP不很规范(不很符合TCP连接规范)的处理方式,可能
    会对你的网络造成一些不可预期或难以诊断的问题。
  3. regect, 拒绝。动作会放回一个拒绝(终止)数据包,明确拒绝对方的连接动作,连接马上断开,client会认为访问主机不存在。REJECT是一种更符合规范的处理方式,并且在可控的网络环境中,更易于诊断和调试网络/防火墙所产生的问题。
    1
    Reject only works when the protocol is set to either TCP or UDP.

添加一个实例 规则

比如我们要限制内网访问 kali的IP:192.168.152.132
配置为如下即可:
图片
没太搞懂 lan和wan设置的区别。反正限制内部访问外部,设置lan的就可以了。
猜测的是 lan管 内网发到 防火墙里的数据,wan管的是防火墙发出去的数据。

但是,测试时我在wan中限制 kali IP无任何效果。(百思不得其解,先放这里吧)
图片

使用nat实现内网映射

没有测试成功,待实现。后面学会再补充。


-------------本文结束感谢您的阅读-------------