ファイアウォールIPTABLESは、内部ネットワークホストをシミュレートして外部ネットワークホストにpingし、ssh接続のジャンプを実現します

クラス12：ファイアウォールIPTABLES包括的な実験

12.1実験要件

トポロジ（テキストバージョン）：

（0.1）-LAN （172.16.10.0/24)-(eth0:0インタフェース：10.254）B（eth0のインターフェース：6.146） -インターネット（192.168.6.0/24)-(6.128）C

請求：

1. Aで172.16.20.2にpingする

2. Cでは、ssh [email protected]がLANのホストAにジャンプします。

促す：

1. すべての仮想マシンはNATモードを使用します

2. ゲートウェイAは172.16.10.254を指します

3. Bをゲートウェイとして、NATポリシーを構成する

4. Bはネットワークカードエイリアスを使用して複数のアドレスを構成できます。ifconfigeth0：0 xxxx natmask xxxx

5. BはCentos 6.xシステム用です

12.2実験準備

• 3つの仮想マシン、1つのイントラネットクライアントPC1、1つの仮想マシンPC2（Centos6.9）をNAT転送用に準備し、1つの外部仮想マシンPC3を準備します。
• トポロジは次のとおりです。

12.3 PC1ネットワーク構成

• ネットワークを構成する

[root@localhost ~]vim /etc/sysconfig/network-scripts/ifcfg-eth0
BOOTPROTO=static      		 #手动配置
IPADDR=172.16.10.1    		 #内网ip
NETMASK=255.255.255.0		 #掩码
GATEWAY=172.16.10.254		 #默认网关
DNS=114.114.114.114

[root@localhost ~]service network restart      #文件保存后 重启服务

下の図から、PC1のネットワークカード構成が成功していることがわかります

[root@localhost ~]ifconfig

次の図から確認できます。PC1はイントラネットのPC2にpingを送信できます

[root@localhost ~]ping 172.16.10.254 #ping PC2

12.4 PC2ネットワークカードとファイアウォールの構成

• ネットワークカードを設定する

[root@lin ~]# ifconfig eth0:0 172.16.10.254 netmask 255.255.255.0 up   #网卡配置
[root@lin ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:DD:00:64  
          inet addr:192.168.6.146  Bcast:192.168.6.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fedd:64/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7701 errors:0 dropped:0 overruns:0 frame:0
          TX packets:167 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:476055 (464.8 KiB)  TX bytes:18437 (18.0 KiB)
#网卡已经启动使用
eth0:0    Link encap:Ethernet  HWaddr 00:0C:29:DD:00:64  
          inet addr:172.16.10.254  Bcast:172.16.10.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

• ファイアウォールを構成する

#清除防火墙规则
[root@lin ~]# iptables -F 
#调整内核参数，开启ip路由转发功能
[root@lin ~]# echo 1 >/proc/sys/net/ipv4/ip_forward
[root@lin ~]# cat /proc/sys/net/ipv4/ip_forward
1
#nat设置
#在POSTROUTING链上：PC2对来自网卡接口eth0:0的ip地址进行nat转换，数据包源地址改为PC2的在网卡接口eth0的地址
[root@lin ~]# iptables -t nat -A POSTROUTING  -s 172.16.10.0/24 -j SNAT --to-source 192.168.6.146

#在PREROUTING链上，对来自外网192.168.6.0/24的ip主机对PC2发起的ssh连接请求进行连接跳转，跳转到内网ip：172.16.10.1对应22号端口
[root@lin ~]# iptables -t nat -A PREROUTING -d 192.168.6.146 -s 192.168.6.0/24 -p tcp --dport 22 -j DNAT --to 172.16.10.1:22

#在FORWARD链上 ，允许目的地址为内网ip：172.16.10.1的tcp包通过
[root@lin ~]# iptables -A FORWARD -d 172.16.10.1 -p tcp --dport 22 -j ACCEPT

12.5テスト

1. ping

次の図から確認できます。内部ネットワーク上のPC1が外部ネットワーク上のPC3にpingを送信します

#在PC1：172.16.10.1测试
[root@localhost ~]ping 192.168.6.128

2. SSH

下の図から確認できます。外部ネットワークのPC3がPC2（192.168.6.146）へのSSH接続を開始します。接続が成功した後、ネットワークカードのインターフェースアドレスを確認し、それがPC3（172.16.10.1）のIPアドレスであることを確認します。これは、PC2がSSHジャンプを正常に完了してログインしたことを示します。 PC1。

#在PC3：192.168.6.128测试
[root@localhost ~]ssh root@192.168.6.146  #向PC2发起ssh连接请求
root@192.168.6.146's password:            #此处输入的是PC1：172.16.10.1的root密码
[root@localhost ~]iconfig