防火牆實驗

實驗環境:三臺redhat虛擬機器
內網主機:server1(172.25.92.1)
外網主機:server3(172.25.254.3)
防火牆伺服器:server2,server2是一個雙網絡卡主機,eth0網絡卡的ip為172.25.92.2,eth1的ip為172.25.254.2

server2上操作:

首先新增兩塊網絡卡:

這裡寫圖片描述
然後在shell視窗:

    DEVICE="eth0"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR=172.25.92.2
PREFIX=24
[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1    #第二塊網絡卡,eth1的配置檔案
DEVICE="eth0"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR=172.25.254.2
PREFIX=24
[[email protected] ~]# ifconfig eth1 172.25.254.2 netmask 255.255.255.0   #需要手動將eth1的ip新增上,eth0不用手動新增
[[email protected] ~]# /etc/init.d/network restart   #重啟動網路                    

檢視ip:
這裡寫圖片描述
可以看見兩塊網絡卡和對應的ip已經新增成功。

配置火牆

[[email protected] ~]# /etc/init.d/iptables start #開啟火牆
[[email protected] network-scripts]# iptables -nL #檢視原有的火牆策略
這裡寫圖片描述
[[email protected] network-scripts]# iptables -F #刷掉原有的火牆策略
[[email protected] network-scripts]# service iptables save #儲存
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[[email protected] network-scripts]# iptables -nL #再次檢視火牆策略(此時無策略)
這裡寫圖片描述

開啟核心的路由轉發引數:
echo 1 > /proc/sys/net/ipv4/ip_forward #”1”即是開啟,“0“關閉

實驗前測試:

server1上:
檢視ip:
這裡寫圖片描述
檢視閘道器:
這裡寫圖片描述
此時ping外網主機:172.25.254.3,不能ping通
這裡寫圖片描述
新增閘道器之後:
這裡寫圖片描述
再次ping外網主機:ping 172.25.254.3
這裡寫圖片描述
此時發現可以ping通,原因在於防火牆主機(server2)上沒有新增任何限制訪問的策略,所以內網主機(172.25.92.1)將閘道器指向防火牆,防火牆可以起到路由轉發的功能,因此可以ping通外網主機(172.25.254.3)。
在server3上:
同樣可以做類似server1上的測試操作,server3的ip為172.25.254.3,開始未新增閘道器,需要未其新增閘道器:route add default gw 172.25.254.2,此時是可以ping通內網主機(172.25.92.1)的,原因和上面的相同,是因為其預設閘道器指向了火牆,二火牆此時未新增策略,所以可以利用火牆實現資料包的轉發。

配置火牆策略