まず、プロジェクトのトレーニング要件:
1、3台のPC、SSHクライアントPC1、PC2ファイアウォールおよびSSH SSHサーバPC3を作製しました。
図2は、LANには3台のマシンで構成され、スイッチを介して、同一の論理IPネットワークセグメントが互いに通信することができます。
3、SSHでのPCのファイアウォール
sshのポート転送を実現するためにファイアウォールの設定を行います。SSHのTelnet SSHクライアントファイアウォールPC1 PC2が、しかし、ポートフォワーディング経由PC2は、PC1は、実際にSSHサーバのPC3にログインします。
第二に、プロジェクト・トポロジー:
实训步骤:1、iptablesの解决方法:
(1)PC1的配置:
[ルート@のsshclient〜]#nmcli詐欺のmodはeth0 ipv4.methodマニュアルipv4.addresses "192.168.1.1/24"
[ルート@ sshclient〜]#nmcli eth0のダウンコン
[ルート@ sshclientを〜]#nmcli CONアップeth0の
Connectionsuccessfully活性化(D-バスアクティブパス:/ ORG / freedesktop / NetworkManagerを/のActiveConnection / 7)
[ルート@のsshclient〜]#のIP addrのショーのdevのeth0の
3:eth0の:<ブロードキャスト、マルチキャスト、UP、LOWER_UP> MTU 1500のqdisc pfifo_fast stateUP QLEN千
リンク/エーテル00:0C:55:29 EA:1A brdff:FF: FF:FF:FF:FF
のinet 192.168.1.1/24 BRD 192.168.1.255 scopeglobal eth0の
永遠preferred_lft valid_lft永遠
のinet6 FE80 :: 20C:29ff:するFe55:ea1a / 64 scopelink
(2)PC2の設定
A、基本的な設定
[ルート@ sshfirewall〜]#nmcli詐欺のmodはeth0 ipv4.methodマニュアルipv4.addresses "192.168.1.10/24"
[ルート@ sshfirewall〜]#nmcli CONダウンeth0の
[ルート@ sshfirewall〜]#nmcli CONアップeth0の
Connectionsuccessfully活性化(D-バスアクティブパス:/ ORG / freedesktop / NetworkManagerを/のActiveConnection / 4)
[ルート@のsshfirewall〜]#のIP addrのショーDEV eno33554992
2:eno33554992:<ブロードキャスト、マルチキャスト、UP、LOWER_UP> MTU 1500のqdisc pfifo_faststate UP QLEN千
リンク/エーテル00:0C:57:29 8F:25 brdff:FF: FF:FF:FF:FF
INET 192.168.1.10/24 BRD 192.168.1.255scopeグローバルeno33554992
valid_lft永遠preferred_lft永遠
のinet6 FE80 :: 20C:29ff:fe57:8f25 / 64 scopelinkは
preferred_lft永遠に永遠にvalid_lft
B、端口转发的配置
[ルート@ sshfirewall〜]#systemctlの停止firewalld
[ルート@のsshfirewall〜]#systemctlのマスクfirewalld
/etc/systemd/system/firewalld.serviceからの/ dev / nullにCreatedsymlinkを。
[ルート@のsshfirewall〜]#は、iptablesの起動systemctl
iptablesの有効[ルート@ sshfirewall〜]#systemctlの
/etc/systemd/system/basic.target.wants/iptables.serviceを/ usr / libに/にsystemd /システム/ iptablesのからCreatedsymlinkを。サービス。
[ルート@ sshfirewall〜]#iptablesの-tのnat -A PREROUTING -d 192.168.1.10 -p TCP - DPORT 22 -j DNAT --to 192.168.1.254:22
[ルート@ sshfirewall〜]#iptablesの-A FORWARD -d 192.168.1.254 -p TCP --dport22 -j ACCEPT
[ルート@ sshfirewall〜]#iptablesの-tのnat -A POSTROUTING -s 192.168.1.1/24 -d0 / 0 -j MASQUERADE
(3)PC3の設定
の前提条件のPC3のSSHサービスは(デフォルトで有効)になっている
基本構成:
[ルート@ sshserverの〜]#nmcli CON MOD eth1のipv4.methodマニュアルipv4.addresses "192.168.1.254/24"
[ルート@ sshserverの〜]#nmcli CONダウンeth1の
[ルート@ sshserverの〜]#nmcli CONアップeth1の
Connectionsuccessfully活性化(D-バスアクティブパス:/ ORG / freedesktop / NetworkManagerを/のActiveConnection / 2)
[ルート@のsshserverの〜]#のIP addrのショーDEV eno16777736
2:eno16777736:<ブロードキャスト、マルチキャスト、UP、LOWER_UP> MTU 1500のqdisc pfifo_faststate UP QLEN千
リンク/エーテル00:0C:86:29 F7:A3 BRD FF:FF :FF:FF:FF:FF
INET 192.168.1.254/24 BRD 192.168.1.255scopeグローバルeno16777736は
preferred_lft永遠に永遠にvalid_lft
INET6 FE80 :: 20C:29ff:fe86:f7a3 / 64 scopelink
preferred_lft永遠に永遠にvalid_lft
(4)结果测试:
[ルート@のsshclient〜]#sshの[email protected]
Theauthenticityホストの'192.168.1.10(192.168.1.10)'は確立できません。
24:0E:07:96:26:B1:04:C2:37:0C:78:2D:BC:B0:08 ECDSAkey指紋はEBあります。
(はい/いいえ)Areyouないことを確認しますが、接続を続行したいですか?はい
警告
ermanently知られているホストのリストに「192.168.1.10」(ECDSA)を追加しました。BR /> [email protected]'spassword:
Lastlogin:金7月20日午後07時46分54秒2018
[ルート@ sshserverの〜]#ホスト名
sshserverの
[ルート@ sshserverの〜]#のIP ADDRを表示DEV eno16777736
2:eno16777736:<ブロードキャスト、マルチキャスト、UPは、LOWER_UP> MTU 1500のqdiscは、ユーザーがQLEN 1000のUPをpfifo_faststateすることができます
0C:29リンク/エーテル00: 86:F7:A3 brdff:FF:FF:FF:FF:FF
INET 192.168.1.254/24 BRD 192.168.1.255scope、株式会社無料eno16777736参加
フォーエバーpreferred_lftフォーエバーvalid_lft
INET6 FE80 :: 20C:29ff:fe86:f7a3 / 64 scopelink
valid_lftフォーエバーpreferred_lft永遠
のホスト名のマシン名とIPアドレスから、あなたはSSHサーバPC3へのSSHリモートログインを通じてPC1を見ることができます。
QQオンラインのZabbix Qグループ177428068