一����、實(shí)驗(yàn)?zāi)康?/strong>
利用linux自帶的iptables配置防火墻;完成如下配置:
- 阻止任何外部世界直接與防火墻內(nèi)部網(wǎng)段直接通訊����。
- 允許內(nèi)部用戶通過防火墻訪問外部HTTP服務(wù)器���,允許內(nèi)部用戶通過防火墻訪問外部HTTPS服務(wù)器。
- 允許內(nèi)部用戶通過防火墻訪問外部ftp服務(wù)器����。
二、實(shí)驗(yàn)原理
IPTABLES相關(guān)語法與使用:
?
三���、實(shí)驗(yàn)環(huán)境
三臺(tái)linux RED HOT 6.5,一臺(tái)作為外網(wǎng)�,一臺(tái)作為網(wǎng)關(guān),一臺(tái)作為內(nèi)網(wǎng)��。
外網(wǎng):169.254.144.201
網(wǎng)管網(wǎng)卡1:169.254.42.101
網(wǎng)管網(wǎng)卡2:169.254.144.101
內(nèi)網(wǎng):169.254.42.201
?
四�、實(shí)驗(yàn)步驟
1、配置網(wǎng)關(guān)
設(shè)置網(wǎng)卡為雙網(wǎng)卡��,設(shè)置具體模式
路徑:虛擬機(jī)-設(shè)置-網(wǎng)絡(luò)適配器-添加-網(wǎng)絡(luò)適配器
這里的網(wǎng)絡(luò)適配器共有兩種�,將vmnet8設(shè)置為連接內(nèi)網(wǎng)的網(wǎng)卡,vmnet1設(shè)置為連接外網(wǎng)的網(wǎng)卡�。
關(guān)閉VM虛擬機(jī)dhcp服務(wù),設(shè)置子網(wǎng)信息
在虛擬網(wǎng)絡(luò)編輯器中分別關(guān)閉DHCP服務(wù)
設(shè)置子網(wǎng)地址�����,子網(wǎng)掩碼
這里的適配器子網(wǎng)地址需要與物理機(jī)相應(yīng)網(wǎng)卡地址相對應(yīng),處于同一網(wǎng)段中��。
掛載鏡像
在虛擬機(jī)設(shè)置中�,指定其所需的鏡像文件
終端運(yùn)行 mount dev/sr0 /mnt? ,實(shí)現(xiàn)掛載鏡像
查看配置文件
終端輸入ifconfig查看配置信息�����,這里的網(wǎng)卡物理信息后面會(huì)用到
cd /etc/sysconfig/network-scripts/? 轉(zhuǎn)到網(wǎng)卡配置文件下
這里目前只有一個(gè)網(wǎng)卡配置信息��,復(fù)制生成另一個(gè)網(wǎng)卡配置信息
網(wǎng)卡配置信息重命名�,這里為了和ifconifg查到的網(wǎng)卡名對應(yīng)
修改網(wǎng)卡1(連接內(nèi)網(wǎng)的)eth1配置文件內(nèi)容
Vim編輯:i:進(jìn)入編輯???? esc:退出編輯???? :wq保存并退出
輸入vim ifcfg-eth1 進(jìn)入vim編輯器修改ifcfg-eth1
修改網(wǎng)卡2(連接外網(wǎng)的)eth2配置文件內(nèi)容
重啟網(wǎng)絡(luò)服務(wù)
輸入service network restart重啟網(wǎng)絡(luò)服務(wù),成功
設(shè)置轉(zhuǎn)發(fā)功能
vim /etc/sysctl.conf? 將轉(zhuǎn)發(fā)由0改為1
此時(shí)網(wǎng)關(guān)已經(jīng)可以登錄互聯(lián)網(wǎng)�,若不能,再次輸入iptables –F和 sentenforce 0�,否,則證明上述操作有輸錯(cuò)�!
2、配置內(nèi)網(wǎng)
設(shè)置網(wǎng)卡模式
①修改網(wǎng)卡為vmnet1
②指定并掛載鏡像文件
查看并修改配置文件
①查看
②修改ifcfg-eth0為ifcfg-eth1�,與網(wǎng)卡名一致
③修改ifcfg-eth1
Ipaddr后面修改為了169.254.42.201
重啟網(wǎng)絡(luò)服務(wù)
嘗試ping網(wǎng)卡1
此時(shí)虛擬機(jī)也可以訪問互聯(lián)網(wǎng),若不能則檢查內(nèi)網(wǎng)和網(wǎng)關(guān)的防火墻規(guī)則����,或檢查上述操作是否出錯(cuò)。
3���、配置外網(wǎng)
設(shè)置網(wǎng)卡模式
查看并修改配置文件
重啟網(wǎng)絡(luò)服務(wù)
Service network restart
嘗試ping通網(wǎng)卡2���、ping通內(nèi)網(wǎng)
此時(shí)外網(wǎng)也應(yīng)可以訪問互聯(lián)網(wǎng)��,若不能����,輸入iptables –F和setenforce 0 檢查����;
?
五、實(shí)驗(yàn)結(jié)果驗(yàn)證
根據(jù)策略設(shè)置防火墻規(guī)則:
阻止任何外部世界直接與防火墻內(nèi)部網(wǎng)段直接通訊�。
①未設(shè)置防火墻規(guī)則時(shí)����,內(nèi)網(wǎng)可以ping通“外網(wǎng)”、ping通物理機(jī)
②網(wǎng)關(guān)設(shè)置防火墻規(guī)則��,禁止內(nèi)網(wǎng)ping物理機(jī)(阻止物理機(jī)icmp包通過)
③這時(shí)內(nèi)網(wǎng)可以ping通外網(wǎng)����、ping不通物理機(jī),證明數(shù)據(jù)包都是經(jīng)過網(wǎng)關(guān)的�,不能直接與內(nèi)網(wǎng)通訊�。
Ping物理機(jī):
Ping外網(wǎng):
允許內(nèi)部用戶通過防火墻訪問外部HTTP服務(wù)器�����,允許內(nèi)部用戶通過���。
①網(wǎng)關(guān)設(shè)置防火墻規(guī)則�,阻止80端口通信
②這時(shí)內(nèi)網(wǎng)上不了網(wǎng)
③證明內(nèi)網(wǎng)訪問外部http服務(wù)器都是通過防火墻(網(wǎng)關(guān))的
防火墻訪問外部HTTPS服務(wù)器��。
①內(nèi)網(wǎng)可以訪問https服務(wù)器
②網(wǎng)關(guān)設(shè)置防火墻規(guī)則���,阻止443端口通信
③此時(shí)內(nèi)網(wǎng)無法再登錄采用了HTTPs協(xié)議的網(wǎng)站
允許內(nèi)部用戶通過防火墻訪問外部ftp服務(wù)器�����。
①網(wǎng)關(guān)設(shè)置防火墻規(guī)則�����,阻止20��、21端口通信
②這時(shí)內(nèi)網(wǎng)無法訪問ftp服務(wù)器
③刪除規(guī)則后���,內(nèi)網(wǎng)可正常訪問
?
來源:https://www./content-3-256351.html
|
