网络防火墙

iptables/netfilter网络防火墙:

(1) 充当网关

(2) 使用filter表的FORWARD链

注意的问题:

(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性

(2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行

实验:禁止互联网上的主机访问内网主机

实验环境:3台机器

假设:172.17.252.162 互联网上的主机(只有桥接,断掉仅主机)

两个网卡192.168.10.200和172.17.253.132 防火墙主机

192.168.10.187 内部网络主机(只有仅主机,断掉桥接)

实验目的:允许内网主机访问互联网上主机,不允许互联网上主机访问内网主机

(1)添加网关,让172.17.252.0/16网段的主机和192.168.10.0/24网段的主机能够互相ping通

1.在172.17.252.162主机上

route add default gw 172.17.253.132

2.在192.168.10.187主机上

route add default gw 192.168.10.200

3.在防火墙上主机上开启转发功能

vim /etc/sysctl.conf

sysctl -p 使添加的内核参数生效

4.查看连个网段的主机能否互相ping通

 

(2)在防火墙主机上添加策略,使内网的主机能访问互联网上的主机,而互联网上的主机不能访问内网的主机

iptables -A FORWARD -s 192.168.10.0/24 -d 172.17.252.0/16 -m state --state NEW -j ACCEPT 在FORWARD链上允许源地址为192.168.10.0/24网段目标地址为172.17.252.0/16网段

iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -j REJECT 拒绝其他转发

(3)测试

在互联网主机上访问内部网络主机 不能ping通

在内网主机上ping互联网主机 能ping通

 

实验:NAT: network address translation 网络地址转换

1.SNAT 源网络地址转换

上一个实验可以实现内网主机访问互联网主机,不允许互联网主机访问内网主机,但是有一个巨大的问题,就是内网主机地址必须是公有地址,成本太高,还不安全

实验环境:

假设:192.168.6.52 互联网上的主机 ,只有一块网卡,桥接(公网ip)

192.168.66.128(仅主机)和192.168.6.143(桥接,公网ip) 防火墙主机,两块网卡,一块桥接,一块仅主机

192.168.66.177 内网的主机 ,一块网卡,仅主机(内网ip)

实验目的:现在要通过防火墙做源地址转换,将192.168.66.177转换为192.168.6.143,从而实现访问互联网上的主机

(1)在内网主机(192.168.66.177)上,将网关指向192.168.66.128

route add default gw 192.168.66.177

(2)在防火墙主机上做源地址转换,将内网的整个网段都替换成公网地址

iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -j SNAT --to-source 192.168.6.143

(3)测试

在192.168.6.52互联网上的主机上开一个web服务,然后用内网的主机192.168.66.177去访问,如果能访问到,说明实验成功

1.在192.168.6.52主机上

systemctl start httpd 开启httpd服务

2.在192.168.66.177主机上用curl命令去访问

用ping也能通

(4)在互联网上的主机看看是谁访问的

都是192.168.6.143访问的,说明试验成功

 

2.DNAT目标网络地址转换

假如说公司内部有一个人出差了,在互联网上想访问公司内部一个服务器,这要怎么做呢?如图:

当互联网上的主机访问192.168.6.143的80端口时,就给他转到192.168.66.177的80端口

实验环境:

假设:192.168.6.52 互联网上的主机,一块网卡,桥接

192.168.6.143和192.168.66.128 防火墙主机,两块网卡,一块桥接,一块仅主机

192.168.66.177 内网的主机 ,一块网卡,仅主机

实验目的:实现互联网上的主机能够访问内网主机开启的httpd服务

(1)在内网主机(192.168.66.177)上,将网关指向192.168.66.128

route add default gw 192.168.66.177

(2)在防火墙主机上做目标地址转换,将目标地址192.168.6.143转换为192.168.66.177

iptables -t nat -A PREROUTING -d 192.168.6.143 -p tcp --dport 80 -j DNAT --to-destination 192.168.66.177:80

(3)在内网主机(192.168.66.177)开启httpd服务

systemctl start httpd

echo hello world > /var/www/html/index.html

(4)测试

在互联网上的主机上用curl命令访问192.168.10.143

(5)我们在内网主机上看日志,确实是互联网上的主机访问的

 

3.转发

实现其他人访问我本机的一个端口(如:80),给他转发到本机的另一个端口(如:8080)上

我们基于上一个实验来做本实验

(1)将内网主机上httpd服务端口改成8080

vim /etc/httpd/conf/httpd.conf

Listen 8080

重启服务 systemctl restart httpd

ss -ntl 查看端口

现在只有8080端口,没有80端口

(2)在内网主机(192.168.66.177)上设置转发策略,如果访问本机的80端口就给转发到本机的8080端口

iptables -t nat -A PREROUTING -d 192.168.66.177 -p tcp --dport 80 -j REDIRECT --to-ports 8080

(3)测试

在互联网主机(192.168.6.52)上用curl来访问防火墙主机192.168.6.143

curl 192.168.6.143

网络防火墙和NAT地址转换的更多相关文章

  1. 【原创】锐捷实现OSPF路由协议和NAT地址转换协议

    路由网络设计与实施 [锐捷设备实现OSPF路由协议与NAT地址转换] 说明:   本文是在多VLAN双星型交换网络的基础之上发展的.关于组建多VLAN双星型交换网络,请参阅: <思科和锐捷组建多 ...

  2. 华为eNSP上的NAT地址转换配置

    NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能. 1.实验拓扑 地址表: 1.完成各个接口基本配置之后使用pi ...

  3. 清除路由器NAT地址转换

    首先当你的NAT网络地址转换成功搭建起来,并且测试过网络通信时,此时NAT地址转换表上面是存在转换信息的,你可以通过在特权模式下输入命令"show ip nat translation&qu ...

  4. 手把手系列:实现Nat地址转换

    1.实验目的: 掌握内网中的主机C1连接到Internet时,通过NAT实现私有全局地址转换.   2.实验拓扑: 3.实验步骤: 步骤一:给主机C1和C2配置IP地址.子网掩码和网关.如图: C1: ...

  5. 神州数码NAT地址转换配置

    实验要求:熟练掌握NAT地址转换的配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip ad ...

  6. NAT地址转换

    2017年1月12日, 星期四 NAT地址转换 SNAT:源地址转换  DNAT:目标地址转换   null

  7. CISCO实验记录九:NAT地址转换

    1.静态NAT地址转换 #ip nat inside source static 192.168.12.1 192.168.23.4 //将12.1转为23.4 必须精确到主机IP 而不能是某个网段 ...

  8. NAT地址转换原理全攻略

    NAT转换方式及原理 在NAT的应用中,可以仅需要转换内部地址(就是“内部本地址”转换成“内部全局地址”),这是最典型的应用,如内部网络用户通过NAT转换共享上网:也可以是仅需要转换外部地址(就是“外 ...

  9. Linux之iptables(四、网络防火墙及NAT)

    网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的 ...

随机推荐

  1. ubuntu下安装memcached与php扩展测试使用

    1,memcached需要libevent,所以要先安装它 下载地址:http://download.chinaunix.net/download.php?id=45065&ResourceI ...

  2. bzoj 4596 [Shoi2016]黑暗前的幻想乡 矩阵树定理+容斥

    4596: [Shoi2016]黑暗前的幻想乡 Time Limit: 20 Sec  Memory Limit: 256 MBSubmit: 559  Solved: 325[Submit][Sta ...

  3. java线程优先级

    java的线程优先级分为1-10 这10个等级 1为最强,最优先 10为最弱 如果大于10或者小于1则会抛异常 源代码为: public final void setPriority(int newP ...

  4. Docker镜像的构成__Dockerfile

    相比docker commit来说,Dockerfile的方法会更加自动化,更加方便快捷,而且功能也更强大.拿构建Nginx容器举例. 先创建一个目录 mkdir /opt/docker-file 进 ...

  5. UVA - 10285 Longest Run on a Snowboard (线性DP)

    思路:d[x][y]表示以(x, y)作为起点能得到的最长递减序列,转移方程d[x][y] = max(d[px][py] + 1),此处(px, py)是它的相邻位置并且该位置的值小于(x, y)处 ...

  6. sed 命令多行到多行的定位方式

    本文提要: sed 命令定位方式的分类 着重对 /pattern/,/pattern/ 的定位方式进行阐述 定位方式分类 总体上,只需要分为两类,即:x 和 x,y .如果在范围后加 ! 则表示取补集 ...

  7. mac的一些小技巧

    切换到超级管理员: sudo -s: 让你很快的全屏之间进行切换!很方便!很实用! command+tab 今天的感觉到公司的每一个人员,对于mac的系统的使用都是非常的熟悉的,我还什么都不会. 我得 ...

  8. shell 脚本——判断条件

    在之前的shell语言学习笔记中已经写过shell的几种判断语句及循环语句,也简单的介绍了shell语言判断语句和判断条件.在此再做进一步学习. test命令的测试功能 test命令用于检测系统文件及 ...

  9. ORACLE ASMM与AMM的总结

      概念对比介绍 相信有些人会对ORACLE当中的AMM(Automatic Memory Management)与ASMM(Automatic Shared Memory Management)有些 ...

  10. AFDX总线协议规范

    AFDX总线协议规范 1.概述 2. AFDX简介 3.AFDX的在数据传输性能的改进 3.1 AFDX以太网帧格式 3.2 AFDX以太网冗余备份 3.3 虚拟连接 3.4 数据交换处理 4.航空计 ...