假如某公司需要Internet接入.采用iptables作为NAT服务器接入网络,
为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail三台服务器;
1、内网通过防火墙访问外网
1.1、配置主机网络
内部Web服务器通过端口映象方式对外提供服务。
- 内网服务器地址网卡1IP设为192.168.100.1
- 防火墙服务器(firewall)网卡1IP设为192.168.100.2网卡2IP设为192.168.200.2
- 外网客户机网卡2IP设为192.168.200.3
1.2、检测主机的连通性
在firewall主机上运行ping 192.168.100.1查看是否能连通。
在firewall主机上运行ping 192.168.200.3查看是否能连通。
查看文件运行cat /proc/sys/net/ipv4/ip_forward的内容是否为1,如果不是1,则运行 vim /etc/sysctl.conf,在其中增加一行:net.ipv4.ip_forward = 1,然后运行sysctl –p使其生效。
1.3 、在client主机上设置httpd服务及主页
(1)在client主机上写好yum源配置文件
(2)在client主机上运行yum –y install httpd命令安装好httpd服务。
(3)在client主机上运行systemctl restart httpd.service命令启动httpd服务。
(4)在client主机上运行vi /var/www/html/index.html,编辑一个默认网站主页。
(5)在client主机上运行浏览器,地址栏输入192.168.200.3,测试能否访问你的主页.
1.4 测试server主机访问外网情况
(1)在server主机运行ping 192.168.200.3,测试能否ping通。
(2)在server主机上运行浏览器,地址栏输入192.168.200.3,测试能否访问你的网页。
1.5 在firewall主机上安装使用iptables防火墙
(1)在firewall主机上写好yum源配置文件,并挂载好RHEL的光盘。
(2)在firewall主机上运行yum -y install iptables iptables-services安装好iptables服务。
(3)在firewall主机上运行 systemctl mask firewalld,关闭server的firewalld服务。
(4)在firewall主机上运行 systemctl start iptables.service,开启server的iptables服务。
1.6 配置firewall主机防火墙
1)在firewall主机上运行iptables -t nat -F清空nat表规则。
2)在firewall主机上运行iptables -t nat -L查看nat表的规则。
3)在firewall主机运行iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 192.168.200.3,使得内网(192.168.100.0可以访问外网,且将源地址修改为192.168.200.3。
4)在firewall主机上运行iptables -t nat -L查看nat表的规则,发现新增了SNAT all – 192.168.100.0/24 anywhere to :192.168.200.3一条规则。
5)在firewall主机上运行iptables -t filter -L查看filter表的规则,查看FORWARD链是否有一条规则REJECT all -- anywhere anywhere reject-with icmp-host-prohibited,如果有,则运行iptables –t filler –F FORWARD将FORWARD链清空。