W3Cschool
恭喜您成為首批注冊用戶
獲得88經驗值獎勵
防偽碼:要輸就輸給追求,要嫁就嫁給幸福
第十一章 iptables防火墻(二)
前言:本章我們來學習使用iptables做網關服務器,并使用NAT功能共享上網以及發(fā)布服務器,和我們之前學過的nat原理完全一樣,所以本章主要就是實驗操作了。最后我們在再寫個防火墻腳本(快速部署防火墻規(guī)則),加綜合實戰(zhàn)演練。
一、SNAT策略
SNAT和我們在路由器上做的PAT是一樣的,為了局域網接入internet,原理就不說了,直接做實驗。
1、實驗環(huán)境
在虛擬機上簡化為如下圖
2、在網站服務器上搭建網站
3、在internet測試機上同樣搭建網站
4、在網關服務器上添加兩塊網卡,分別是eth0:192.168.1.1和eth1:173.16.16.1,然后開啟路由轉發(fā)功能:
5、在網關服務器上配置SNAT策略
6、在內部網站服務器上訪問http://173.16.16.16
7、到internet測試機上查看日志,發(fā)現訪問者不是192.168.1.7,而是173.16.16.1就對了
cat /usr/local/httpd/logs/access_log
二、DNAT策略
DNAT策略與我們之前學習過的靜態(tài)nat是一樣的,可以一對一,也可以端口映射,主要目的是為了發(fā)布服務器。
1、實驗環(huán)境和上一個實驗一樣
2、在網關服務器上執(zhí)行DNAT命令
3、在internet測試機上訪問:173.16.16.1,打開的網站是192.168.1.7
三、發(fā)布企業(yè)內部的ssh服務器
實驗要求:2345端口對應網關服務器,2346端口對應網站服務器
1、實驗環(huán)境:和上一個實驗一樣
2、在網關服務器和網站服務器分別開啟2345和22端口的ssh
1)在網關服務器開啟2345(vim /etc/ssh/sshd_config)
2)網站服務器只需要開啟sshd服務即可,默認端口就是22
2、在網關服務器上設置DNAT策略
3、在internet測試機上進行ssh測試
使用ssh -p 2345 root@173.16.16.1連接上的是網關服務器
使用ssh -p root@173.16.16.1連接上的是網站服務器
四、規(guī)則的導入、導出
前言:備份可以把配置過的防火墻規(guī)則存儲到一個位置,當更換防火墻或者規(guī)則出錯的情況下,可以迅速恢復。
1、執(zhí)行iptables-save命令導出linux防火墻規(guī)則。
例如:
1)在網站服務器上查看防火墻規(guī)則
2)然后執(zhí)行備份
3)把網站服務器上的規(guī)則全部刪除
4)執(zhí)行iptables-resore命令恢復,恢復之后查看規(guī)則已經還原。
2、使用iptables服務備份恢復防火墻規(guī)則
把iptables-save的備份存儲到/etc/sysconfig/iptables,然后就可以通過iptables服務快速恢復,每次開機后就自動重建。如果想恢復規(guī)則的時候,就直接重新啟動iptables服務即可。
1)執(zhí)行下面的命令把規(guī)則存儲到服務文件中
2)然后把防火墻規(guī)則刪除
3)執(zhí)行service iptables restart就可以恢復規(guī)則
4)如果想清空規(guī)則的時候,除了執(zhí)行iptables -F,也可以停止防火墻服務。
五、使用防火墻腳本
使用腳本可以快速部署防火墻規(guī)則,當需要配置多臺防火墻的時候,使用腳本可以快速生成規(guī)則,提高工作效率。
例如:將output鏈中的默認策略設置為允許,不添加其他規(guī)則,將input鏈的默認策略設置為拒絕,只放行對個別服務的訪問,以及響應本機訪問請求的數據包。
1)Vi /opt/myipfw.hostonly
2)執(zhí)行腳本
3)查看規(guī)則
綜合實戰(zhàn):
實驗環(huán)境:
需求描述:
使用SNAT策略實現共享上網
使用DNAT策略發(fā)布Web服務、SSH服務
實現思路:
注意清空原有防火墻規(guī)則
正確準備好實驗環(huán)境,網關中打開IP轉發(fā)
正確設置SNAT、DNAT規(guī)則
一、準備實驗環(huán)境
1、正確配置各主機的網絡參數(ip地址,子網掩碼)
2、網段192.168.1.0/24中的主機將默認網關設為192.168.1.1
3、在網站服務器192.168.1.7上添加測試賬號wzadm,啟用web服務,ssh服務
4、在Internet測試機173.16.16.16中啟用web服務,去掉默認網關設置
二、配置Linux網關服務器
1、打開路由轉發(fā)功能
2、添加SNAT策略,使局域網段192.168.1.0/24能上網
3、添加DNAT策略,使用公網地址173.16.16.1、端口80,發(fā)布內網主機192.168.1.7中的web服務
4、添加DNAT策略,使用公網地址173.16.16.1、端口2222,發(fā)布內網主機192.168.1.7中的OpenSSH服務
三、驗證實驗效果
1、在網站服務器192.168.1.7中,能夠訪問173.16.16.16,并且查看主機173.16.16.16的web訪問日志時,所記錄的客戶機是173.16.16.1
2、在Internet測試機173.16.16.16中,能夠訪問173.16.16.1,顯示為網站服務器192.168.1.7中的網頁
3、在Internet測試機173.16.16.16中,能夠通過173.16.16.1的2222端口進行SSH遠程登錄,以網站服務器192.168.1.7中的wzadm用戶進行驗證,登錄后查看當前ip應該是192.168.1.7
謝謝觀看,希望能真心的幫到您!
本文出自 “一盞燭光” 博客,謝絕轉載!
Copyright©2021 w3cschool編程獅|閩ICP備15016281號-3|閩公網安備35020302033924號
違法和不良信息舉報電話:173-0602-2364|舉報郵箱:jubao@eeedong.com
掃描二維碼
下載編程獅App
編程獅公眾號
聯系方式:
更多建議: