Klasse 12: Firewall IPTABLES Umfassendes Experiment
Artikelverzeichnis
12.1 Experimentelle Anforderungen
Topologie (Textversion):
A (.1) -LAN ( 172.16.10.0/24)-(eth0:0 Schnittstelle: 10.254) B (eth0 Schnittstelle: 6.146) -Internet ( 192.168.6.0/24)-(6.128 ) C.
Anspruch:
1. Ping 172.16.20.2 auf A.
2. Auf C springt ssh [email protected] zu Host A im LAN
prompt:
-
Alle virtuellen Maschinen verwenden den NAT-Modus
-
Gateway A zeigt auf 172.16.10.254
-
B als Gateway konfigurieren Sie die NAT-Richtlinie
-
B kann den Netzwerkkartenalias verwenden, um mehrere Adressen zu konfigurieren, ifconfig eth0: 0 xxxx natmask xxxx
-
B ist für das Centos 6.x-System
12.2 Versuchsvorbereitung
- Bereiten Sie 3 virtuelle Maschinen, einen Intranet-Client-PC1, einen virtuellen Maschinen-PC2 (Centos6.9) für die NAT-Weiterleitung und einen externen virtuellen Maschinen-PC3 vor
- Die Topologie lautet wie folgt:
12.3 PC1-Netzwerkkonfiguration
- Konfigurieren Sie das Netzwerk
[root@localhost ~]vim /etc/sysconfig/network-scripts/ifcfg-eth0
BOOTPROTO=static #手动配置
IPADDR=172.16.10.1 #内网ip
NETMASK=255.255.255.0 #掩码
GATEWAY=172.16.10.254 #默认网关
DNS=114.114.114.114
[root@localhost ~]service network restart #文件保存后 重启服务
Aus der folgenden Abbildung ist ersichtlich, dass die Netzwerkkartenkonfiguration von PC1 erfolgreich ist
[root@localhost ~]ifconfig
Aus der folgenden Abbildung ist ersichtlich: PC1 kann PC2 im Intranet anpingen
[root@localhost ~]ping 172.16.10.254 #ping PC2
12.4 Konfiguration der PC2-Netzwerkkarte und der Firewall
- Netzwerkkarte konfigurieren
[root@lin ~]# ifconfig eth0:0 172.16.10.254 netmask 255.255.255.0 up #网卡配置
[root@lin ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:DD:00:64
inet addr:192.168.6.146 Bcast:192.168.6.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fedd:64/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7701 errors:0 dropped:0 overruns:0 frame:0
TX packets:167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:476055 (464.8 KiB) TX bytes:18437 (18.0 KiB)
#网卡已经启动使用
eth0:0 Link encap:Ethernet HWaddr 00:0C:29:DD:00:64
inet addr:172.16.10.254 Bcast:172.16.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
- Konfigurieren Sie die Firewall
#清除防火墙规则
[root@lin ~]# iptables -F
#调整内核参数,开启ip路由转发功能
[root@lin ~]# echo 1 >/proc/sys/net/ipv4/ip_forward
[root@lin ~]# cat /proc/sys/net/ipv4/ip_forward
1
#nat设置
#在POSTROUTING链上:PC2对来自网卡接口eth0:0的ip地址进行nat转换,数据包源地址改为PC2的在网卡接口eth0的地址
[root@lin ~]# iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -j SNAT --to-source 192.168.6.146
#在PREROUTING链上,对来自外网192.168.6.0/24的ip主机对PC2发起的ssh连接请求进行连接跳转,跳转到内网ip:172.16.10.1对应22号端口
[root@lin ~]# iptables -t nat -A PREROUTING -d 192.168.6.146 -s 192.168.6.0/24 -p tcp --dport 22 -j DNAT --to 172.16.10.1:22
#在FORWARD链上 ,允许目的地址为内网ip:172.16.10.1的tcp包通过
[root@lin ~]# iptables -A FORWARD -d 172.16.10.1 -p tcp --dport 22 -j ACCEPT
12.5 Testen
1. ping
Aus der folgenden Abbildung ist ersichtlich: PC1 im internen Netzwerk pingt PC3 im externen Netzwerk
#在PC1:172.16.10.1测试
[root@localhost ~]ping 192.168.6.128
2. ssh
Aus der folgenden Abbildung ist ersichtlich: PC3 aus dem externen Netzwerk initiiert eine SSH-Verbindung zu PC2 (192.168.6.146). Überprüfen Sie nach erfolgreicher Verbindung die Schnittstellenadresse der Netzwerkkarte und stellen Sie fest, dass es sich um die IP-Adresse von PC3 (172.16.10.1) handelt. Dies zeigt an, dass PC2 den SSH-Sprung erfolgreich abgeschlossen und sich angemeldet hat PC1.
#在PC3:192.168.6.128测试
[root@localhost ~]ssh root@192.168.6.146 #向PC2发起ssh连接请求
root@192.168.6.146's password: #此处输入的是PC1:172.16.10.1的root密码
[root@localhost ~]iconfig
