10.IPTABLES防火墙(下)

What: 所学的计算机知识点是什么?

SNAT策略:iptables -t nat -A POSTROUTING -s 要转换的IP网段/24 -o ethx(出口的x网卡)-j SNAT --to-source x网卡IP

动态IP上网:iptables-t nat-A POSTROUTING -s 要转换的IP网段/24 -o ppp0 -j

MASQUERADE

DNAT:iptables -t nat -A POSTROUTING -i 公司内部的网卡 -d 内部网卡IP -p tcp --dport 端口 -j DNAT --to -destination公司的dns服务器:端口

防火墙规则备份:iptables-save > /目录

防火墙规则导入:iptables-restore

打开路由转发:VIM /etc/sysctl.conf 将ipv4ipforward改为1 sysctl -p

Why:为什么要引入这个知识点?解决什么问题?

IP之间的相互转化,是外访问内网,或者内网访问外网

How:如何使用这个知识点?

详情见下方实验。

Where:这个知识点用于何处?

学习防火墙的相关知识

实验要求:

一、首先清除网关防火墙和dmz中的服务器上的所有防火墙规则

二、将dmz中的服务器和网关防火墙的INPUT、FORWARD链默认策略设置为DROP

二、配置网关防火墙SNAT,使内部客户机访问192.168.2.2时,转换为200.1.1.1启用路由功能

1.在filter表forward链上创建相应的转发规则

2.在nat表postrouting链上创建SNAT规则,将内部客户机地址映射成200.1.1.1

3.验证:在192.168.1.3上访问192.168.2.2,然后,查看2.2的访问日志

二、配置网关防火墙SNAT,使内部客户机访问192.168.3.2时,转换为eth2接口地址

1.删除nat表中刚刚创建的snat规则

2.在nat表postrouting链上创建SNAT规则,将内部客户机地址装换成eth2

3.验证:在192.168.1.3上访问192.168.3.2,然后,查看3.2的访问日志

三、配置网关防火墙DNAT,发布DMZ区域中的服务器

1.配置nat表prerouting链,发布dmz中的open ssh(端口为2222)、ftp、www服务器

2.注意dmz服务器本身防火墙的配置

3.在外部客户机上访问dmz里的各个服务

四、保存防火墙配置

实验过程:

开五台虚拟机

其中一台当网关防火墙的要有3个网卡都改成v1网卡

修改ip

(网关防火墙)

选中所有,复制下来

修复eth0网卡

如果有IP以下蓝色字体的就不用做,如果没有IP,就做以下步骤

为了避免IP冲突,(因为MAC地址一样)所以在把各个网卡的MAC地址写到配置文件里

复制这行

添加上MAC地址

第二块网卡也是一样

重启服务

两个没有IP地址,需要重启一下服务器

重启服务器

配置内部web (第二台)的IP地址

修复网卡

ping一下网关是否能正常通信 ctrl+c终止

修复网卡

配置外部web的IP地址

配置DMZ web的IP地址

配置内部客户机的IP地址并关掉防火墙

在网关防火墙上

用内部客户机ping所有服务器

一、首先清除网关防火墙和dmz中的服务器上的所有防火墙规则

二、将dmz中的服务器和网关防火墙的INPUT、FORWARD链默认策略设置为DROP

二、配置网关防火墙SNAT,使内部客户机访问192.168.2.2时,转换为200.1.1.1启用路由功能

1.在filter表forward链上创建相应的转发规则

2.在nat表postrouting链上创建SNAT规则,将内部客户机地址映射成200.1.1.1

3.验证:在192.168.1.3上访问192.168.2.2,然后,查看2.2的访问日志

先允许任何包进入

在允许任何包转发

在设置IP地址映射(因为eth1网卡连接的是DMZ服务器)

在DMZ服务器上开启httpd服务,并设置允许包进入的规则

允许所有的包进来

在xp客户机上访问WEB

查看DMZ服务器的日志

二、配置网关防火墙SNAT,使内部客户机访问192.168.3.2时,转换为eth2接口地址

1.删除nat表中刚刚创建的snat规则

2.在nat表postrouting链上创建SNAT规则,将内部客户机地址装换成eth2

3.验证:在192.168.1.3上访问192.168.3.2,然后,查看3.2的访问日志

删除nat表中刚刚创建的snat规则.

在nat表postrouting链上创建SNAT规则,将内部客户机地址装换成eth2

在外部服务器上启动httpd服务

在xp客户机上访问

在外部服务器上查看日志

三、配置网关防火墙DNAT,发布DMZ区域中的服务器

1.配置nat表prerouting链,发布dmz中的open ssh(端口为2222)、ftp、www服务器

2.注意dmz服务器本身防火墙的配置

3.在外部客户机上访问dmz里的各个服务

先把DMZ中的服务器 ssh端口号改为2222

安装ftp服务器

启动ftp服务

发布www

发布www,ftp,openssh(用端口号区分)

用外部web登录ssh

验证web

验证ftp

查看日志信息

四、保存防火墙配置

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180302G1JQJ200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券