一����、實驗?zāi)康?/strong>
利用linux自帶的iptables配置防火墻;完成如下配置:
- 阻止任何外部世界直接與防火墻內(nèi)部網(wǎng)段直接通訊�。
- 允許內(nèi)部用戶通過防火墻訪問外部HTTP服務(wù)器,允許內(nèi)部用戶通過防火墻訪問外部HTTPS服務(wù)器��。
- 允許內(nèi)部用戶通過防火墻訪問外部ftp服務(wù)器���。
二����、實驗原理
IPTABLES相關(guān)語法與使用:
?
三�、實驗環(huán)境
三臺linux RED HOT 6.5,一臺作為外網(wǎng)���,一臺作為網(wǎng)關(guān)�����,一臺作為內(nèi)網(wǎng)���。
外網(wǎng):169.254.144.201
網(wǎng)管網(wǎng)卡1:169.254.42.101
網(wǎng)管網(wǎng)卡2:169.254.144.101
內(nèi)網(wǎng):169.254.42.201
?
四��、實驗步驟
1��、配置網(wǎng)關(guān)
設(shè)置網(wǎng)卡為雙網(wǎng)卡��,設(shè)置具體模式
路徑:虛擬機-設(shè)置-網(wǎng)絡(luò)適配器-添加-網(wǎng)絡(luò)適配器
這里的網(wǎng)絡(luò)適配器共有兩種��,將vmnet8設(shè)置為連接內(nèi)網(wǎng)的網(wǎng)卡���,vmnet1設(shè)置為連接外網(wǎng)的網(wǎng)卡。
關(guān)閉VM虛擬機dhcp服務(wù)��,設(shè)置子網(wǎng)信息
在虛擬網(wǎng)絡(luò)編輯器中分別關(guān)閉DHCP服務(wù)
設(shè)置子網(wǎng)地址����,子網(wǎng)掩碼
這里的適配器子網(wǎng)地址需要與物理機相應(yīng)網(wǎng)卡地址相對應(yīng)����,處于同一網(wǎng)段中��。
掛載鏡像
在虛擬機設(shè)置中��,指定其所需的鏡像文件
終端運行 mount dev/sr0 /mnt? �,實現(xiàn)掛載鏡像
查看配置文件
終端輸入ifconfig查看配置信息�����,這里的網(wǎng)卡物理信息后面會用到
cd /etc/sysconfig/network-scripts/? 轉(zhuǎn)到網(wǎng)卡配置文件下
這里目前只有一個網(wǎng)卡配置信息�����,復(fù)制生成另一個網(wǎng)卡配置信息
網(wǎng)卡配置信息重命名�����,這里為了和ifconifg查到的網(wǎng)卡名對應(yīng)
修改網(wǎng)卡1(連接內(nèi)網(wǎng)的)eth1配置文件內(nèi)容
Vim編輯:i:進入編輯???? esc:退出編輯???? :wq保存并退出
輸入vim ifcfg-eth1 進入vim編輯器修改ifcfg-eth1
修改網(wǎng)卡2(連接外網(wǎng)的)eth2配置文件內(nèi)容
重啟網(wǎng)絡(luò)服務(wù)
輸入service network restart重啟網(wǎng)絡(luò)服務(wù)���,成功
設(shè)置轉(zhuǎn)發(fā)功能
vim /etc/sysctl.conf? 將轉(zhuǎn)發(fā)由0改為1
此時網(wǎng)關(guān)已經(jīng)可以登錄互聯(lián)網(wǎng)�,若不能�����,再次輸入iptables –F和 sentenforce 0,否����,則證明上述操作有輸錯!
2���、配置內(nèi)網(wǎng)
設(shè)置網(wǎng)卡模式
①修改網(wǎng)卡為vmnet1
②指定并掛載鏡像文件
查看并修改配置文件
①查看
②修改ifcfg-eth0為ifcfg-eth1��,與網(wǎng)卡名一致
③修改ifcfg-eth1
Ipaddr后面修改為了169.254.42.201
重啟網(wǎng)絡(luò)服務(wù)
嘗試ping網(wǎng)卡1
此時虛擬機也可以訪問互聯(lián)網(wǎng)���,若不能則檢查內(nèi)網(wǎng)和網(wǎng)關(guān)的防火墻規(guī)則,或檢查上述操作是否出錯�。
3、配置外網(wǎng)
設(shè)置網(wǎng)卡模式
查看并修改配置文件
重啟網(wǎng)絡(luò)服務(wù)
Service network restart
嘗試ping通網(wǎng)卡2��、ping通內(nèi)網(wǎng)
此時外網(wǎng)也應(yīng)可以訪問互聯(lián)網(wǎng)�����,若不能��,輸入iptables –F和setenforce 0 檢查�;
?
五��、實驗結(jié)果驗證
根據(jù)策略設(shè)置防火墻規(guī)則:
阻止任何外部世界直接與防火墻內(nèi)部網(wǎng)段直接通訊。
①未設(shè)置防火墻規(guī)則時�����,內(nèi)網(wǎng)可以ping通“外網(wǎng)”����、ping通物理機
②網(wǎng)關(guān)設(shè)置防火墻規(guī)則,禁止內(nèi)網(wǎng)ping物理機(阻止物理機icmp包通過)
③這時內(nèi)網(wǎng)可以ping通外網(wǎng)���、ping不通物理機����,證明數(shù)據(jù)包都是經(jīng)過網(wǎng)關(guān)的�,不能直接與內(nèi)網(wǎng)通訊。
Ping物理機:
Ping外網(wǎng):
允許內(nèi)部用戶通過防火墻訪問外部HTTP服務(wù)器����,允許內(nèi)部用戶通過。
①網(wǎng)關(guān)設(shè)置防火墻規(guī)則����,阻止80端口通信
②這時內(nèi)網(wǎng)上不了網(wǎng)
③證明內(nèi)網(wǎng)訪問外部http服務(wù)器都是通過防火墻(網(wǎng)關(guān))的
防火墻訪問外部HTTPS服務(wù)器���。
①內(nèi)網(wǎng)可以訪問https服務(wù)器
②網(wǎng)關(guān)設(shè)置防火墻規(guī)則,阻止443端口通信
③此時內(nèi)網(wǎng)無法再登錄采用了HTTPs協(xié)議的網(wǎng)站
允許內(nèi)部用戶通過防火墻訪問外部ftp服務(wù)器����。
①網(wǎng)關(guān)設(shè)置防火墻規(guī)則,阻止20�、21端口通信
②這時內(nèi)網(wǎng)無法訪問ftp服務(wù)器
③刪除規(guī)則后,內(nèi)網(wǎng)可正常訪問
?
來源:https://www./content-3-256351.html
|
