网络防火墙

iptables/netfilter网络防火墙:

(1) 充当网关

(2) 使用filter表的FORWARD链

注意的问题:

(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性

(2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行

实验:禁止互联网上的主机访问内网主机

实验环境:3台机器

假设:172.17.252.162 互联网上的主机(只有桥接,断掉仅主机)

两个网卡192.168.10.200和172.17.253.132 防火墙主机

192.168.10.187 内部网络主机(只有仅主机,断掉桥接)

实验目的:允许内网主机访问互联网上主机,不允许互联网上主机访问内网主机

(1)添加网关,让172.17.252.0/16网段的主机和192.168.10.0/24网段的主机能够互相ping通

1.在172.17.252.162主机上

route add default gw 172.17.253.132

2.在192.168.10.187主机上

route add default gw 192.168.10.200

3.在防火墙上主机上开启转发功能

vim /etc/sysctl.conf

sysctl -p 使添加的内核参数生效

4.查看连个网段的主机能否互相ping通

 

(2)在防火墙主机上添加策略,使内网的主机能访问互联网上的主机,而互联网上的主机不能访问内网的主机

iptables -A FORWARD -s 192.168.10.0/24 -d 172.17.252.0/16 -m state --state NEW -j ACCEPT 在FORWARD链上允许源地址为192.168.10.0/24网段目标地址为172.17.252.0/16网段

iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -j REJECT 拒绝其他转发

(3)测试

在互联网主机上访问内部网络主机 不能ping通

在内网主机上ping互联网主机 能ping通

 

实验:NAT: network address translation 网络地址转换

1.SNAT 源网络地址转换

上一个实验可以实现内网主机访问互联网主机,不允许互联网主机访问内网主机,但是有一个巨大的问题,就是内网主机地址必须是公有地址,成本太高,还不安全

实验环境:

假设:192.168.6.52 互联网上的主机 ,只有一块网卡,桥接(公网ip)

192.168.66.128(仅主机)和192.168.6.143(桥接,公网ip) 防火墙主机,两块网卡,一块桥接,一块仅主机

192.168.66.177 内网的主机 ,一块网卡,仅主机(内网ip)

实验目的:现在要通过防火墙做源地址转换,将192.168.66.177转换为192.168.6.143,从而实现访问互联网上的主机

(1)在内网主机(192.168.66.177)上,将网关指向192.168.66.128

route add default gw 192.168.66.177

(2)在防火墙主机上做源地址转换,将内网的整个网段都替换成公网地址

iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -j SNAT --to-source 192.168.6.143

(3)测试

在192.168.6.52互联网上的主机上开一个web服务,然后用内网的主机192.168.66.177去访问,如果能访问到,说明实验成功

1.在192.168.6.52主机上

systemctl start httpd 开启httpd服务

2.在192.168.66.177主机上用curl命令去访问

用ping也能通

(4)在互联网上的主机看看是谁访问的

都是192.168.6.143访问的,说明试验成功

 

2.DNAT目标网络地址转换

假如说公司内部有一个人出差了,在互联网上想访问公司内部一个服务器,这要怎么做呢?如图:

当互联网上的主机访问192.168.6.143的80端口时,就给他转到192.168.66.177的80端口

实验环境:

假设:192.168.6.52 互联网上的主机,一块网卡,桥接

192.168.6.143和192.168.66.128 防火墙主机,两块网卡,一块桥接,一块仅主机

192.168.66.177 内网的主机 ,一块网卡,仅主机

实验目的:实现互联网上的主机能够访问内网主机开启的httpd服务

(1)在内网主机(192.168.66.177)上,将网关指向192.168.66.128

route add default gw 192.168.66.177

(2)在防火墙主机上做目标地址转换,将目标地址192.168.6.143转换为192.168.66.177

iptables -t nat -A PREROUTING -d 192.168.6.143 -p tcp --dport 80 -j DNAT --to-destination 192.168.66.177:80

(3)在内网主机(192.168.66.177)开启httpd服务

systemctl start httpd

echo hello world > /var/www/html/index.html

(4)测试

在互联网上的主机上用curl命令访问192.168.10.143

(5)我们在内网主机上看日志,确实是互联网上的主机访问的

 

3.转发

实现其他人访问我本机的一个端口(如:80),给他转发到本机的另一个端口(如:8080)上

我们基于上一个实验来做本实验

(1)将内网主机上httpd服务端口改成8080

vim /etc/httpd/conf/httpd.conf

Listen 8080

重启服务 systemctl restart httpd

ss -ntl 查看端口

现在只有8080端口,没有80端口

(2)在内网主机(192.168.66.177)上设置转发策略,如果访问本机的80端口就给转发到本机的8080端口

iptables -t nat -A PREROUTING -d 192.168.66.177 -p tcp --dport 80 -j REDIRECT --to-ports 8080

(3)测试

在互联网主机(192.168.6.52)上用curl来访问防火墙主机192.168.6.143

curl 192.168.6.143

网络防火墙和NAT地址转换的更多相关文章

  1. 【原创】锐捷实现OSPF路由协议和NAT地址转换协议

    路由网络设计与实施 [锐捷设备实现OSPF路由协议与NAT地址转换] 说明:   本文是在多VLAN双星型交换网络的基础之上发展的.关于组建多VLAN双星型交换网络,请参阅: <思科和锐捷组建多 ...

  2. 华为eNSP上的NAT地址转换配置

    NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能. 1.实验拓扑 地址表: 1.完成各个接口基本配置之后使用pi ...

  3. 清除路由器NAT地址转换

    首先当你的NAT网络地址转换成功搭建起来,并且测试过网络通信时,此时NAT地址转换表上面是存在转换信息的,你可以通过在特权模式下输入命令"show ip nat translation&qu ...

  4. 手把手系列:实现Nat地址转换

    1.实验目的: 掌握内网中的主机C1连接到Internet时,通过NAT实现私有全局地址转换.   2.实验拓扑: 3.实验步骤: 步骤一:给主机C1和C2配置IP地址.子网掩码和网关.如图: C1: ...

  5. 神州数码NAT地址转换配置

    实验要求:熟练掌握NAT地址转换的配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip ad ...

  6. NAT地址转换

    2017年1月12日, 星期四 NAT地址转换 SNAT:源地址转换  DNAT:目标地址转换   null

  7. CISCO实验记录九:NAT地址转换

    1.静态NAT地址转换 #ip nat inside source static 192.168.12.1 192.168.23.4 //将12.1转为23.4 必须精确到主机IP 而不能是某个网段 ...

  8. NAT地址转换原理全攻略

    NAT转换方式及原理 在NAT的应用中,可以仅需要转换内部地址(就是“内部本地址”转换成“内部全局地址”),这是最典型的应用,如内部网络用户通过NAT转换共享上网:也可以是仅需要转换外部地址(就是“外 ...

  9. Linux之iptables(四、网络防火墙及NAT)

    网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的 ...

随机推荐

  1. Openwrt上使用dnsmasq和ipset实现域名分流

    目标 部署一台自动代理路由器,实现根据域名来自动设定直连或者代理,而我要做的只是设置PC的默认网关为主路由器(192.168.0.1)还是自动代理路由器(192.168.0.254). 创建Openw ...

  2. Zabbix Agent active主动模式监控

    zabbix_server端当主机数量过多的时候,由Server端去收集数据,Zabbix会出现严重的性能问题,主要表现如下: 1.当被监控端到达一个量级的时候,Web操作很卡,容易出现502 2.图 ...

  3. 速卖通AE平台+聚石塔+奇门 完整教程V2

    公司是跨境电商,在阿里马马的速卖通平台上开有店铺,并且基于速卖通开放平台,自主研发了ERP系统,居今已有3年多的时间了,一直很稳定. 今年初,速卖通AE开放平台改版,并入淘宝开放平台中,我们的麻烦就开 ...

  4. static关键字的使用总结

    1.对于static关键字的使用的时候对于修饰变量的时候,它相当于一个全局变量: 2.对于static修饰一个函数的时候他是在类被加载的时候首先会被类加载,并且只能加载一次,并且这个方法可以不需要通过 ...

  5. No new migrations found. Your system is up-to-date.处理

    显然是migrations表中存储的相关操作记录了,删除就好了!!!

  6. 在测试crontab执行脚本的时候,修改了linux的系统时间,crontab不执行了。

    今天在写服务器的perl脚本的时候,在完成一版脚本打算通过crontab来测试一下呢,因为直接执行脚本文件是没有问题的,但是当配置到crontab定期执行时就会出现问题,到了指定的时间了,但是脚本文件 ...

  7. 将vue的项目打包后通过百度的BAE发布到网上的流程

    经过两天的研究终于将VUE打包后的项目通过BAE发布到了网上.虽然接口方面还有一下问题但是自己还是很高兴的. 首先说一下这个项目需要用到的技术,vue+express+git+百度的应用引擎BAE. ...

  8. linux权限归属及特殊权限设置

    访问权限:读取:允许查看内容 -read写入:允许修改内容 -write可执行:允许运行和切换 -excute(以上三点rwx共同决定最终权限)归属关系:所有者:拥有此文件/目录的用户 -user所属 ...

  9. 第1章 PCI总线的基本知识

    PCI总线作为处理器系统的局部总线,主要目的是为了连接外部设备,而不是作为处理器的系统总线连接Cache和主存储器.但是PCI总线.系统总线和处理器体系结构之间依然存在着紧密的联系. PCI总线作为系 ...

  10. Sparklyr与Docker的推荐系统实战

    作者:Harry Zhu 链接:https://zhuanlan.zhihu.com/p/21574497 来源:知乎 著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 相关内容: ...