构建框架
外网:kali (192.168.152.132)
内网:win-serve2012(1.1.1.2)、win7(1.1.1.7)、winxp
防火墙:monowall(1.1.1.1 ,192.168.152.144)
monowall防火墙安装
- 需要2个网络适配器,一个内网主机模式一个桥接模式。
![网络适配器配置]()
- 首先我们需要将他装到硬盘里去,所以我们需要选择7
install on Hard Drive接着会显示存在的硬盘,然后让我们选择一个进行安装,我们随便选一个都行。 - 记得把我们的光驱镜像关掉。
monowall配置
![monowall配置]()
- 输入
1来配置 网卡接口。我们没有vlans所以第一个选n - 接着会要我们输入lan接口(内网接口名),我们也可以选择输入a来自动获取。
- 或者根据上面给的提示进行配置
![]()
)我们查看虚拟机中对应网卡的mac,发现le0是内网接口。le1是外网接口。![]()
- 最后配置如下:
![图片]()
- 然后会提示是否有其它网卡需要配置,我们这里只有2个网卡,直接回车就可以了。接着需要我们确认,我们y即可。
- 接下来我们输入
2来配置ip地址,输入1.1.1.1子网掩码选择24,启用dhcp。范围我们可以输入1.1.1.10到1.1.1.100 - 其它选项字面意思好理解。
)我们查看虚拟机中对应网卡的mac,发现
内网主机的配置
- 网卡设置为仅主机模式
- 接着我们在浏览器中输入防火墙的ip,进入配置。(用户名:admin 密码:mono)
monowall的防火墙rule配置
rule配置时的三种动作
- pass ,好理解放行。
- block , 堵塞。不让数据包通行且不会返回任何信息。DROP提供了更高的防火墙安全性和稍许的效率提高,但是由于DROP不很规范(不很符合TCP连接规范)的处理方式,可能
会对你的网络造成一些不可预期或难以诊断的问题。 - regect, 拒绝。动作会放回一个拒绝(终止)数据包,明确拒绝对方的连接动作,连接马上断开,client会认为访问主机不存在。REJECT是一种更符合规范的处理方式,并且在可控的网络环境中,更易于诊断和调试网络/防火墙所产生的问题。
1
Reject only works when the protocol is set to either TCP or UDP.
添加一个实例 规则
比如我们要限制内网访问 kali的IP:192.168.152.132
配置为如下即可:
没太搞懂 lan和wan设置的区别。反正限制内部访问外部,设置lan的就可以了。
猜测的是 lan管 内网发到 防火墙里的数据,wan管的是防火墙发出去的数据。
但是,测试时我在wan中限制 kali IP无任何效果。(百思不得其解,先放这里吧)
使用nat实现内网映射
没有测试成功,待实现。后面学会再补充。