配置与管理iptables防火墙

假如某公司需要Internet接入.采用iptables作为NAT服务器接入网络，

为确保安全需要配置防火墙功能，要求内部仅能够访问Web、DNS及Mail三台服务器；

1、内网通过防火墙访问外网

1.1、配置主机网络

内部Web服务器通过端口映象方式对外提供服务。

• 内网服务器地址网卡1IP设为192.168.100.1
• 防火墙服务器（firewall）网卡1IP设为192.168.100.2网卡2IP设为192.168.200.2
• 外网客户机网卡2IP设为192.168.200.3

 

 

1.2、检测主机的连通性

在firewall主机上运行ping 192.168.100.1查看是否能连通。

在firewall主机上运行ping 192.168.200.3查看是否能连通。

查看文件运行cat /proc/sys/net/ipv4/ip_forward的内容是否为1，如果不是1，则运行 vim /etc/sysctl.conf，在其中增加一行：net.ipv4.ip_forward = 1，然后运行sysctl –p使其生效。

1.3 、在client主机上设置httpd服务及主页

（1）在client主机上写好yum源配置文件

（2）在client主机上运行yum –y install httpd命令安装好httpd服务。

（3）在client主机上运行systemctl restart httpd.service命令启动httpd服务。

（4）在client主机上运行vi /var/www/html/index.html，编辑一个默认网站主页。

（5）在client主机上运行浏览器，地址栏输入192.168.200.3，测试能否访问你的主页.

1.4 测试server主机访问外网情况

（1）在server主机运行ping 192.168.200.3，测试能否ping通。

（2）在server主机上运行浏览器，地址栏输入192.168.200.3，测试能否访问你的网页。

1.5 在firewall主机上安装使用iptables防火墙

（1）在firewall主机上写好yum源配置文件，并挂载好RHEL的光盘。

（2）在firewall主机上运行yum -y install iptables iptables-services安装好iptables服务。

（3）在firewall主机上运行 systemctl mask firewalld，关闭server的firewalld服务。

（4）在firewall主机上运行 systemctl start iptables.service，开启server的iptables服务。

1.6 配置firewall主机防火墙

1）在firewall主机上运行iptables -t nat -F清空nat表规则。

2）在firewall主机上运行iptables -t nat -L查看nat表的规则。

3）在firewall主机运行iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 192.168.200.3，使得内网(192.168.100.0可以访问外网，且将源地址修改为192.168.200.3。

4）在firewall主机上运行iptables -t nat -L查看nat表的规则，发现新增了SNAT all – 192.168.100.0/24 anywhere to :192.168.200.3一条规则。

5）在firewall主机上运行iptables -t filter -L查看filter表的规则，查看FORWARD链是否有一条规则REJECT     all  --  anywhere           anywhere            reject-with icmp-host-prohibited，如果有，则运行iptables –t filler –F FORWARD将FORWARD链清空。