用iptables构建DMZ防火墙[2]

iptables -A FORWARD -p tcp -d 10.0.0.0/24 -s REAL_FTP -i eth1--sport 21 ! --syn -j ACCEPT
．．．．．．
### You can add other services in DMZ here such as TELNET、SMTP、 POP3 & IMAP etc. ###
．．．．．．
######## deny DMZ to EXTERNAL LAN except to external smtp server ########
iptables -t nat -A POSTROUTING -p tcp --dport 25 -d 10.0.0.0/24 -s REAL_SMTP -o eth0 -j SNAT --to MASQ_SMTP
iptables -A FORWARD -p tcp -s REAL_SMTP -d 10.0.0.0/24 -i eth1 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d REAL_SMTP -s 10.0.0.0/24 -i eth0--sport 25 ! --syn -j ACCEPT

通过以上步骤，具有DMZ的防火墙达到了以下目标：

1．内部通讯区可以无限制的访问外部通讯区以及DMZ，但访问外部通信区时防火墙进行了源地址转换。
2．外部通讯区可以通过对外公开的地址访问DMZ的服务器，由防火墙完成对外地址到服务器实际地址的转换。
3．外部通讯区不能访问内部通讯区以及防火墙。
4．DMZ不可以访问内部通讯区。