10.IPTABLES防火墙（下）

What： 所学的计算机知识点是什么？

SNAT策略：iptables -t nat -A POSTROUTING -s 要转换的IP网段/24 -o ethx（出口的x网卡）-j SNAT --to-source x网卡IP

动态IP上网：iptables-t nat-A POSTROUTING -s 要转换的IP网段/24 -o ppp0 -j

MASQUERADE

DNAT:iptables -t nat -A POSTROUTING -i 公司内部的网卡 -d 内部网卡IP -p tcp --dport 端口 -j DNAT --to -destination公司的dns服务器：端口

防火墙规则备份：iptables-save > /目录

防火墙规则导入：iptables-restore

打开路由转发：VIM /etc/sysctl.conf 将ipv4ipforward改为1 sysctl -p

Why：为什么要引入这个知识点？解决什么问题？

IP之间的相互转化，是外访问内网，或者内网访问外网

How：如何使用这个知识点？

详情见下方实验。

Where：这个知识点用于何处？

学习防火墙的相关知识

实验要求：

一、首先清除网关防火墙和dmz中的服务器上的所有防火墙规则

二、将dmz中的服务器和网关防火墙的INPUT、FORWARD链默认策略设置为DROP

二、配置网关防火墙SNAT，使内部客户机访问192.168.2.2时，转换为200.1.1.1启用路由功能

1.在filter表forward链上创建相应的转发规则

2.在nat表postrouting链上创建SNAT规则，将内部客户机地址映射成200.1.1.1

3.验证：在192.168.1.3上访问192.168.2.2，然后，查看2.2的访问日志

二、配置网关防火墙SNAT，使内部客户机访问192.168.3.2时，转换为eth2接口地址

1.删除nat表中刚刚创建的snat规则

2.在nat表postrouting链上创建SNAT规则，将内部客户机地址装换成eth2

3.验证：在192.168.1.3上访问192.168.3.2，然后，查看3.2的访问日志

三、配置网关防火墙DNAT,发布DMZ区域中的服务器

1.配置nat表prerouting链，发布dmz中的open ssh（端口为2222）、ftp、www服务器

2.注意dmz服务器本身防火墙的配置

3.在外部客户机上访问dmz里的各个服务

四、保存防火墙配置

实验过程：

开五台虚拟机

其中一台当网关防火墙的要有3个网卡都改成v1网卡

修改ip

（网关防火墙）

选中所有，复制下来

修复eth0网卡

如果有IP以下蓝色字体的就不用做，如果没有IP，就做以下步骤

为了避免IP冲突，（因为MAC地址一样）所以在把各个网卡的MAC地址写到配置文件里

复制这行

添加上MAC地址

第二块网卡也是一样

重启服务

两个没有IP地址，需要重启一下服务器

重启服务器

配置内部web （第二台）的IP地址

修复网卡

ping一下网关是否能正常通信 ctrl+c终止

修复网卡

配置外部web的IP地址

配置DMZ web的IP地址

配置内部客户机的IP地址并关掉防火墙

在网关防火墙上

用内部客户机ping所有服务器

一、首先清除网关防火墙和dmz中的服务器上的所有防火墙规则

二、将dmz中的服务器和网关防火墙的INPUT、FORWARD链默认策略设置为DROP

二、配置网关防火墙SNAT，使内部客户机访问192.168.2.2时，转换为200.1.1.1启用路由功能

1.在filter表forward链上创建相应的转发规则

2.在nat表postrouting链上创建SNAT规则，将内部客户机地址映射成200.1.1.1

3.验证：在192.168.1.3上访问192.168.2.2，然后，查看2.2的访问日志

先允许任何包进入

在允许任何包转发

在设置IP地址映射（因为eth1网卡连接的是DMZ服务器）

在DMZ服务器上开启httpd服务，并设置允许包进入的规则

允许所有的包进来

在xp客户机上访问WEB

查看DMZ服务器的日志

二、配置网关防火墙SNAT，使内部客户机访问192.168.3.2时，转换为eth2接口地址

1.删除nat表中刚刚创建的snat规则

2.在nat表postrouting链上创建SNAT规则，将内部客户机地址装换成eth2

3.验证：在192.168.1.3上访问192.168.3.2，然后，查看3.2的访问日志

删除nat表中刚刚创建的snat规则.

在nat表postrouting链上创建SNAT规则，将内部客户机地址装换成eth2

在外部服务器上启动httpd服务

在xp客户机上访问

在外部服务器上查看日志

三、配置网关防火墙DNAT,发布DMZ区域中的服务器

1.配置nat表prerouting链，发布dmz中的open ssh（端口为2222）、ftp、www服务器

2.注意dmz服务器本身防火墙的配置

3.在外部客户机上访问dmz里的各个服务

先把DMZ中的服务器 ssh端口号改为2222

安装ftp服务器

启动ftp服务

发布www

发布www，ftp，openssh（用端口号区分）

用外部web登录ssh

验证web

验证ftp

查看日志信息

四、保存防火墙配置