RouterSrv

完成服务

ROUTING
开启路由转发，为当前实验环境提供路由功能。
根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。
IPTABLES
添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。

配置路由转发

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

配置网络地址转换规则

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens35 -j MASQUERADE #ens35 外网网卡
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens35 -j MASQUERADE #MASQUERADE是转换
iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 --dport 53 -j DNAT --to 192.168.100.100
iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 53,80,443,465,993 -j DNAT --to 192.168.100.100
iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 20,21 -j DNAT --to 192.168.100.200
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 2021,22 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 67,123,1194 -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 20,21,53,80,443,465,993,4500:5000 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT

外网访问内网的chrony服务器(chrony服务在内网)

iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 -m multiport --dport 123,323 -j DNAT --to 192.168.100.100

快照

INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行

#这个放在比赛的最后面做，不然容易出问题
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

验证

存在源为192.168.0.0/24和192.168.100.0/24的MASQUERADE规则

iptables -t nat -nvL POSTROUTING

存在目的地为81.6.63.254的DNAT规则，规则中至少存在udp53，tcp53，tcp80，tcp443，tcp465，tcp993。

iptables -t nat -nvL PREROUTING

INPUT链至少要放行tcp2021，udp67，FORWARD链至少要放行tcp20，21，53，80，443，465，993。

iptables -nL

默认拒绝