配置与管理iptables防火墙

假如某公司需要Internet接入.采用iptables作为NAT服务器接入网络,

为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail三台服务器;

1、内网通过防火墙访问外网

1.1、配置主机网络

内部Web服务器通过端口映象方式对外提供服务。

  • 内网服务器地址网卡1IP设为192.168.100.1
  • 防火墙服务器(firewall)网卡1IP设为192.168.100.2网卡2IP设为192.168.200.2
  • 外网客户机网卡2IP设为192.168.200.3

 

 

1.2、检测主机的连通性

在firewall主机上运行ping 192.168.100.1查看是否能连通。

在firewall主机上运行ping 192.168.200.3查看是否能连通。

查看文件运行cat /proc/sys/net/ipv4/ip_forward的内容是否为1,如果不是1,则运行 vim /etc/sysctl.conf,在其中增加一行:net.ipv4.ip_forward = 1,然后运行sysctl –p使其生效。

1.3 、在client主机上设置httpd服务及主页

(1)在client主机上写好yum源配置文件

(2)在client主机上运行yum –y install httpd命令安装好httpd服务。

(3)在client主机上运行systemctl restart httpd.service命令启动httpd服务。

(4)在client主机上运行vi /var/www/html/index.html,编辑一个默认网站主页。

(5)在client主机上运行浏览器,地址栏输入192.168.200.3,测试能否访问你的主页.

1.4 测试server主机访问外网情况

(1)在server主机运行ping 192.168.200.3,测试能否ping通。

(2)在server主机上运行浏览器,地址栏输入192.168.200.3,测试能否访问你的网页。

1.5 在firewall主机上安装使用iptables防火墙

(1)在firewall主机上写好yum源配置文件,并挂载好RHEL的光盘。

(2)在firewall主机上运行yum -y install iptables iptables-services安装好iptables服务。

(3)在firewall主机上运行 systemctl mask firewalld,关闭server的firewalld服务。

(4)在firewall主机上运行 systemctl start iptables.service,开启server的iptables服务。

1.6 配置firewall主机防火墙

1)在firewall主机上运行iptables -t nat -F清空nat表规则。

2)在firewall主机上运行iptables -t nat -L查看nat表的规则。

3)在firewall主机运行iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 192.168.200.3,使得内网(192.168.100.0可以访问外网,且将源地址修改为192.168.200.3。

4)在firewall主机上运行iptables -t nat -L查看nat表的规则,发现新增了SNAT all – 192.168.100.0/24 anywhere to :192.168.200.3一条规则。

5)在firewall主机上运行iptables -t filter -L查看filter表的规则,查看FORWARD链是否有一条规则REJECT     all  --  anywhere           anywhere            reject-with icmp-host-prohibited,如果有,则运行iptables –t filler –F FORWARD将FORWARD链清空。

posted @ 2024-07-07 18:25  Dr丶云幕  阅读(15)  评论(0编辑  收藏  举报