|
本文主要是 简单的介绍防火墙的:简单配置->state->SNAT->DNAT...==>环境介绍:三台虚拟主机:第一台: 内网主机桥接第二台: 防火墙①,桥接②vmnet5第三台: 外网主机vmnet5第四台: 真实主机如何让WinXP主机访问Web主机通信并且配置相应策略呢??==>配置网关实现基本通信:第一步: 将内网主机的网关指向192.168.10.10;第二步: 将防火墙的转发功能开启;[root@Firwall ~]# vim /etc/sysctl.confnet.ipv4.ip_forward = 1第三部: 将外网主机的网关指向172.16.17.201;说明: 对于Linux主机来说,设定/proc/sys/net/ipv4/ip_forward的值为1,即为开启了路由功能.第一种方法==>配置Web服务/测试访问:1).启动web服务并且创建index.html网页文件:[root@Web ~]# vim /var/www/html/index.htmlWelcome to xiaoma home!![root@Web ~]#service httpd restart2).测试访问:(1)防火访问:[root@Firwall ~]# curl http://192.168.10.20Welcome to xiaoma home!![root@Firwall ~]#(2)外网Win XP访问(成功):==>给自己的真实主机添加一条路由实现访问Web服务:1).开始->运行->输入cmd->添加如下内容:C:\Users\Administrator>route add 192.168.10.0 MASK 255.255.255.0 172.16.17.2012).查看路由表:3).真实主机访问:==>如果只想让Win XP访问,而不想让真实主机访问Web,怎么办呢?那么这时候就是防火墙起作用的时候了:1).配置如下:[root@Firwall ~]# iptables -P FORWARD DROP[root@Firwall ~]# iptables -A FORWARD -s 172.16.17.222 -d 192.168.10.20 -p tcp --dport 80 -j ACCEPT[root@Firwall ~]# iptables -A FORWARD -s 192.168.10.20 -d 172.16.17.222 -p tcp --sport 80 -j ACCEPT查看是否已经匹配到报文:[root@Firwall ~]# watch -n1 'iptables -L -n -v'2).真实主机访问(失败):3).那么Win XP能访问吗(成功)?==>如果我想让Win XP 能远程连接,那有该如何设置呢?1).配置如下:[root@Firwall ~]# iptables -A FORWARD -s 172.16.0.0/16 -d 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT[root@Firwall ~]# iptables -A FORWARD -s 192.168.10.0/24 -s 172.16.0.0/16 -p tcp --sport 22 -j ACCEPT2).WinXP连接测试(成功)?3).最后保存规则:[root@Firwall ~]# service iptables save第二种方法==>下面这种方法配置的规则效果要比上面的配置,性能要大大提升的...这就是优化规则的效果:注意: 这里我把之前写的清空了哈,为了演示效果,那么配置如下:1).先清空规则:[root@Firwall ~]# iptables -F FORWARD2)).只要状态是ESTABLISHED就放行:[root@Firwall ~]# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT2).只要状态是NEW就放行:[root@Firwall ~]# iptables -A FORWARD -d 192.168.10.20 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT3).结果和上面的就是一样的,在此就不给出截图了!NAPT:动态NAT,网络地址端口转换;源地址转换:SNAT,用于让内网主机访问互联网 目标地址转换:DNAT,让互联网上主机访问本地内网中的某服务器上的服务,(发布机制)一、如何做SNAT地址转换后在做下过滤呢?1).配置如下:[root@Firwall ~]# iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.10.102).Win XP访问(成功):3).查看Web服务的访问日志(原来的是172.16.17.222主机的地址,现在做了源地址转换.):4).如何将带有 "welcome" 的关键字过滤掉呢 ?配置如下:[root@Firwall ~]# iptables -P FORWARD ACCEPT[root@Firwall ~]# iptables -F FORWARD[root@Firwall ~]# iptables -A FORWARD -d 172.16.0.0/16 -p tcp --sport 80 -m string --algo kmp --string "welcome" -j REJECT5).WinXP访问(失败):二、如何做DNAT地址转换并且让真实主机访问,而不让虚拟主机的Win XP访问呢?注意172.16.17.201的主机上并没有web服务,而是由于做了目标地址转换的,你可以这样想的,实际上他访问的还是web服务器本身;1.配置如下:1).将之前的规则清空以免会有影响且配置;[root@Firwall ~]#iptables -t nat -F[root@Firwall ~]# iptables -F [root@Firwall ~]# iptables -t nat -A PREROUTING -d 172.16.17.201 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.202).这时使用WinXP访问: http://172.16.17.201/(成功):3).真是主机:访问也是可以的,请看:2.如果说这时候你不想让Win XP 访问,而真实主机还是能访问的怎么办呢?1).配置如下:[root@Firwall ~]# iptables -A FORWARD -s 172.16.17.222 -j REJECT2).Win XP访问(失败):3.如何将所有外网用户请求地址为172.16.17.201并且端口是22022的就转发至192.168.10.20上的22端口,如何配置呢?1).配置如下:[root@Firwall ~]# iptables -t nat -A PREROUTING -d 172.16.17.201 -p tcp --dport 22022 -j DNAT --to-destination 192.168.10.20:22[root@Firwall ~]# iptables -F FORWARD[root@Firwall ~]# service iptables save2).Win XP 使用ssh建立连接请求(成功):A smile is the most beautiful language!!!以本人的理解而写出博客,如若有错误,欢迎指出.---->小马子
(以上内容不代表本站观点。) --------------------------------- |
本網站是"非商業"(non-commercial)。
