一��、實驗目的
利用linux自帶的iptables配置防火墻��;完成如下配置:
- 阻止任何外部世界直接與防火墻內部網(wǎng)段直接通訊�。
- 允許內部用戶通過防火墻訪問外部HTTP服務器,允許內部用戶通過防火墻訪問外部HTTPS服務器��。
- 允許內部用戶通過防火墻訪問外部ftp服務器�。
二、實驗原理
IPTABLES相關語法與使用:
?
三�����、實驗環(huán)境
三臺linux RED HOT 6.5����,一臺作為外網(wǎng),一臺作為網(wǎng)關��,一臺作為內網(wǎng)。
外網(wǎng):169.254.144.201
網(wǎng)管網(wǎng)卡1:169.254.42.101
網(wǎng)管網(wǎng)卡2:169.254.144.101
內網(wǎng):169.254.42.201
?
四��、實驗步驟
1��、配置網(wǎng)關
設置網(wǎng)卡為雙網(wǎng)卡��,設置具體模式
路徑:虛擬機-設置-網(wǎng)絡適配器-添加-網(wǎng)絡適配器
這里的網(wǎng)絡適配器共有兩種����,將vmnet8設置為連接內網(wǎng)的網(wǎng)卡,vmnet1設置為連接外網(wǎng)的網(wǎng)卡���。
關閉VM虛擬機dhcp服務�,設置子網(wǎng)信息
在虛擬網(wǎng)絡編輯器中分別關閉DHCP服務
設置子網(wǎng)地址�����,子網(wǎng)掩碼
這里的適配器子網(wǎng)地址需要與物理機相應網(wǎng)卡地址相對應���,處于同一網(wǎng)段中�����。
掛載鏡像
在虛擬機設置中�����,指定其所需的鏡像文件
終端運行 mount dev/sr0 /mnt? ����,實現(xiàn)掛載鏡像
查看配置文件
終端輸入ifconfig查看配置信息����,這里的網(wǎng)卡物理信息后面會用到
cd /etc/sysconfig/network-scripts/? 轉到網(wǎng)卡配置文件下
這里目前只有一個網(wǎng)卡配置信息,復制生成另一個網(wǎng)卡配置信息
網(wǎng)卡配置信息重命名����,這里為了和ifconifg查到的網(wǎng)卡名對應
修改網(wǎng)卡1(連接內網(wǎng)的)eth1配置文件內容
Vim編輯:i:進入編輯???? esc:退出編輯???? :wq保存并退出
輸入vim ifcfg-eth1 進入vim編輯器修改ifcfg-eth1
修改網(wǎng)卡2(連接外網(wǎng)的)eth2配置文件內容
重啟網(wǎng)絡服務
輸入service network restart重啟網(wǎng)絡服務,成功
設置轉發(fā)功能
vim /etc/sysctl.conf? 將轉發(fā)由0改為1
此時網(wǎng)關已經可以登錄互聯(lián)網(wǎng)�����,若不能�,再次輸入iptables –F和 sentenforce 0,否����,則證明上述操作有輸錯!
2���、配置內網(wǎng)
設置網(wǎng)卡模式
①修改網(wǎng)卡為vmnet1
②指定并掛載鏡像文件
查看并修改配置文件
①查看
②修改ifcfg-eth0為ifcfg-eth1���,與網(wǎng)卡名一致
③修改ifcfg-eth1
Ipaddr后面修改為了169.254.42.201
重啟網(wǎng)絡服務
嘗試ping網(wǎng)卡1
此時虛擬機也可以訪問互聯(lián)網(wǎng)�����,若不能則檢查內網(wǎng)和網(wǎng)關的防火墻規(guī)則����,或檢查上述操作是否出錯�。
3、配置外網(wǎng)
設置網(wǎng)卡模式
查看并修改配置文件
重啟網(wǎng)絡服務
Service network restart
嘗試ping通網(wǎng)卡2�����、ping通內網(wǎng)
此時外網(wǎng)也應可以訪問互聯(lián)網(wǎng)����,若不能,輸入iptables –F和setenforce 0 檢查�;
?
五、實驗結果驗證
根據(jù)策略設置防火墻規(guī)則:
阻止任何外部世界直接與防火墻內部網(wǎng)段直接通訊�����。
①未設置防火墻規(guī)則時,內網(wǎng)可以ping通“外網(wǎng)”�����、ping通物理機
②網(wǎng)關設置防火墻規(guī)則��,禁止內網(wǎng)ping物理機(阻止物理機icmp包通過)
③這時內網(wǎng)可以ping通外網(wǎng)���、ping不通物理機,證明數(shù)據(jù)包都是經過網(wǎng)關的���,不能直接與內網(wǎng)通訊���。
Ping物理機:
Ping外網(wǎng):
允許內部用戶通過防火墻訪問外部HTTP服務器,允許內部用戶通過���。
①網(wǎng)關設置防火墻規(guī)則����,阻止80端口通信
②這時內網(wǎng)上不了網(wǎng)
③證明內網(wǎng)訪問外部http服務器都是通過防火墻(網(wǎng)關)的
防火墻訪問外部HTTPS服務器��。
①內網(wǎng)可以訪問https服務器
②網(wǎng)關設置防火墻規(guī)則,阻止443端口通信
③此時內網(wǎng)無法再登錄采用了HTTPs協(xié)議的網(wǎng)站
允許內部用戶通過防火墻訪問外部ftp服務器�����。
①網(wǎng)關設置防火墻規(guī)則�����,阻止20���、21端口通信
②這時內網(wǎng)無法訪問ftp服務器
③刪除規(guī)則后���,內網(wǎng)可正常訪問
?
來源:https://www./content-3-256351.html
|
