《Linux網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（統(tǒng)信UOS V20）（微課版）》項(xiàng)目3 配置與管理防火墻和SELinux

《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux（統(tǒng)信UOSV20）（微課版）》項(xiàng)目3配置與管理防火墻和SELinux能力CAPACITY要求了解防火墻的分類(lèi)及工作原理掌握f(shuō)irewalld防火墻的配置掌握NAT思政IDEOLOGY導(dǎo)入明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范和精神，樹(shù)立社會(huì)主義核心價(jià)值觀。思政IDEOLOGY目標(biāo)“大學(xué)之道，在明明德，在親民，在止于至善?！薄啊呱窖鲋?，景行行止?！m不能至，然心向往之”。了解計(jì)算機(jī)的主奠基人——華羅庚教授，知悉讀大學(xué)的真正含義，以德化人，激發(fā)學(xué)生的科學(xué)精神和愛(ài)國(guó)情懷。思政IDEOLOGY內(nèi)容華羅庚教授—我國(guó)計(jì)算技術(shù)的奠基人和最主要的開(kāi)拓者之一。華羅庚教授在數(shù)學(xué)上的造詣和成就深受世界科學(xué)家的贊賞。在美國(guó)任訪問(wèn)研究員時(shí)，華羅庚教授的心里就已經(jīng)開(kāi)始勾畫(huà)我國(guó)電子計(jì)算機(jī)事業(yè)的藍(lán)圖了！華羅庚教授于1950年回國(guó)，1952年在全國(guó)高等學(xué)校院系調(diào)整時(shí)，他從清華大學(xué)電機(jī)系物色了閔乃大、夏培肅和王傳英三位科研人員，在他任所長(zhǎng)的中國(guó)科學(xué)院應(yīng)用數(shù)學(xué)研究所內(nèi)建立了中國(guó)第一個(gè)電子計(jì)算機(jī)科研小組。1956年籌建中國(guó)科學(xué)院計(jì)算技術(shù)研究所時(shí)，華羅庚教授擔(dān)任籌備委員會(huì)主任。

項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄一、項(xiàng)目知識(shí)準(zhǔn)備防火墻概述通常所說(shuō)的網(wǎng)絡(luò)防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。

防火墻的分類(lèi)方法多種多樣，不過(guò)從傳統(tǒng)意義上講，防火墻大致可以分為三大類(lèi)，分別是“包過(guò)濾”“應(yīng)用代理”“狀態(tài)檢測(cè)”。一、項(xiàng)目知識(shí)準(zhǔn)備iptables與firewalld早期的Linux系統(tǒng)采用ipfwadm作為防火墻，但在2.2.0版本中被ipchains取代。在統(tǒng)信UOSV20中，firewalld防火墻取代了iptables防火墻。實(shí)際上，iptables與firewalld都不是真正的防火墻，它們都只是用來(lái)定義防火墻策略的防火墻管理工具，或者說(shuō)，它們只是一種服務(wù)。一、項(xiàng)目知識(shí)準(zhǔn)備N(xiāo)AT基礎(chǔ)知識(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換器（NetworkAddressTranslator，NAT）位于使用專(zhuān)用地址的內(nèi)聯(lián)網(wǎng)（Intranet）和使用公用地址的Internet之間。1.NAT主要具有以下幾種功能。（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專(zhuān)用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專(zhuān)用地址。（3）支持多重服務(wù)器和負(fù)載均衡。（4）實(shí)現(xiàn)透明代理。一、項(xiàng)目知識(shí)準(zhǔn)備N(xiāo)AT基礎(chǔ)知識(shí)

2．NAT的工作過(guò)程（1）客戶(hù)端將數(shù)據(jù)包發(fā)送給運(yùn)行NAT的計(jì)算機(jī)。（2）NAT將數(shù)據(jù)包中的端口號(hào)和專(zhuān)用的IP地址換成自己的端口號(hào)和公用的IP地址，然后將數(shù)據(jù)包發(fā)送給外網(wǎng)的目的主機(jī)，同時(shí)在映像表中記錄一個(gè)跟蹤信息，以便向客戶(hù)端發(fā)送回答信息。（3）外網(wǎng)發(fā)送回答信息給NAT。（4）NAT將收到的數(shù)據(jù)包的端口號(hào)和公用IP地址轉(zhuǎn)換為客戶(hù)端的端口號(hào)和內(nèi)網(wǎng)使用的專(zhuān)用IP地址并轉(zhuǎn)發(fā)給客戶(hù)端。一、項(xiàng)目知識(shí)準(zhǔn)備N(xiāo)AT基礎(chǔ)知識(shí)擔(dān)當(dāng)NAT的計(jì)算機(jī)有兩塊網(wǎng)卡、兩個(gè)IP地址。IP1為，IP2為。一、項(xiàng)目知識(shí)準(zhǔn)備N(xiāo)AT的分類(lèi)（1）源NAT（SourceNAT，SNAT）。是指修改第一個(gè)包的源IP地址。（2）目的NAT（DestinationNAT，DNAT）。是指修改第一個(gè)包的目的IP地址。一、項(xiàng)目知識(shí)準(zhǔn)備SELinux安全增強(qiáng)型Linux（Security-EnhancedLinux，SELinux）是一個(gè)由美國(guó)國(guó)家安全局（NationalSecurityAgency，NSA）開(kāi)發(fā)的安全子系統(tǒng)，它通過(guò)強(qiáng)制訪問(wèn)控制（MAC）實(shí)現(xiàn)對(duì)Linux系統(tǒng)的安全加固，可以幫助系統(tǒng)管理員更好地保護(hù)系統(tǒng)免受惡意攻擊和安全漏洞的影響。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備（1）服務(wù)器安裝好統(tǒng)信UOSV20版本，并且必須保證常用服務(wù)正常工作?？蛻?hù)端使用統(tǒng)信UOSV20或Windows網(wǎng)絡(luò)操作系統(tǒng)。服務(wù)器和客戶(hù)端能夠通過(guò)網(wǎng)絡(luò)進(jìn)行通信。（2）或者利用虛擬機(jī)設(shè)置網(wǎng)絡(luò)環(huán)境。（3）3臺(tái)安裝好統(tǒng)信UOSV20的計(jì)算機(jī)。本項(xiàng)目要完成的任務(wù)如下。①安裝與配置firewalld。②配置SNAT和DNAT。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)統(tǒng)信UOSV20集成了多款防火墻管理工具，其中firewalld提供了支持網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義的網(wǎng)絡(luò)連接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具—統(tǒng)信UOSV20系統(tǒng)的動(dòng)態(tài)防火墻管理器（dynamicfirewallmanagerofLinuxsystems）。統(tǒng)信UOSV20系統(tǒng)的動(dòng)態(tài)防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶(hù)界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)1．使用終端管理工具命令行終端是一種極富效率的運(yùn)行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（1）systemctl命令速查。systemctlunmaskfirewalld #執(zhí)行命令，即可實(shí)現(xiàn)取消服務(wù)的鎖定systemctlmaskfirewalld #下次需要鎖定該服務(wù)時(shí)執(zhí)行systemctlstartfirewalld.service #啟動(dòng)防火墻systemctlstopfirewalld.service #禁用防火墻systemctlreloadfirewalld.service #重載配置systemctlrestartfirewalld.service #重啟服務(wù)systemctlstatusfirewalld.service #顯示服務(wù)的狀態(tài)systemctlenablefirewalld.service #在開(kāi)機(jī)時(shí)啟用服務(wù)systemctldisablefirewalld.service #在開(kāi)機(jī)時(shí)禁用服務(wù)systemctlis-enabledfirewalld.service #查看服務(wù)是否開(kāi)機(jī)啟動(dòng)systemctllist-unit-files|grepenabled #查看已啟動(dòng)的服務(wù)列表systemctl--failed #查看啟動(dòng)失敗的服務(wù)列表三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（2）firewall-cmd命令速查。firewall-cmd--state #查看防火墻狀態(tài)firewall-cmd--reload #更新防火墻規(guī)則firewall-cmd--state #查看防火墻狀態(tài)firewall-cmd--reload #重載防火墻規(guī)則firewall-cmd--list-ports #查看所有打開(kāi)的端口firewall-cmd--list-services #查看所有允許的服務(wù)firewall-cmd--get-services #獲取所有支持的服務(wù)三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（3）區(qū)域相關(guān)命令速查。firewall-cmd--list-all-zones #查看所有區(qū)域信息firewall-cmd--get-active-zones #查看活動(dòng)區(qū)域信息firewall-cmd--set-default-zone=public #設(shè)置public為默認(rèn)區(qū)域firewall-cmd--get-default-zone #查看默認(rèn)區(qū)域信息firewall-cmd--zone=public--add-interface=eth0 #將接口eth0加入?yún)^(qū)域public三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（4）接口相關(guān)命令速查。firewall-cmd--zone=public--remove-interface=ens33#從區(qū)域public中刪除接口ens33firewall-cmd--zone=default--change-interface=ens33#修改接口ens33所屬區(qū)域?yàn)閐efaultfirewall-cmd--get-zone-of-interface=ens33#查看接口ens33所屬區(qū)域三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（5）端口控制命令速查。firewall-cmd--add-port=80/tcp--permanent #永久開(kāi)啟80端口(全局)firewall-cmd--remove-port=80/tcp--permanent #永久關(guān)閉80端口(全局)firewall-cmd--add-port=65001-65010/tcp--permanent#永久開(kāi)啟65001-65010端口(全局)firewall-cmd--zone=public--add-port=80/tcp--permanent#永久開(kāi)啟80端口(區(qū)域public)firewall-cmd--zone=public--remove-port=80/tcp--permanent#永久關(guān)閉80端口(區(qū)域public)firewall-cmd--zone=public--add-port=65001-65010/tcp--permanent#永久開(kāi)啟65001-65010端口(區(qū)域public)firewall-cmd--query-port=8080/tcp #查詢(xún)端口是否開(kāi)放firewall-cmd--permanent--add-port=80/tcp #開(kāi)放80端口firewall-cmd--permanent--remove-port=8080/tcp #移除端口firewall-cmd--reload #重啟防火墻(修改配置后要重啟防火墻)三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。①查看firewalld服務(wù)當(dāng)前狀態(tài)和使用的區(qū)域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態(tài)[root@Server01~]#systemctlrestartfirewalld[root@Server01~]#firewall-cmd--get-default-zone#查看默認(rèn)區(qū)域public三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。②查詢(xún)防火墻生效ens33網(wǎng)卡在firewalld服務(wù)中的區(qū)域。[root@Server01~]#firewall-cmd--get-active-zones #查看當(dāng)前防火墻中生效的區(qū)域[root@Server01~]#firewall-cmd--set-default-zone=trusted #設(shè)定默認(rèn)區(qū)域三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。③把firewalld服務(wù)中ens33網(wǎng)卡的默認(rèn)區(qū)域修改為external，并在系統(tǒng)重啟后生效。分別查看運(yùn)行時(shí)模式與永久模式下的區(qū)域名稱(chēng)。[root@Server01~]#firewall-cmd--list-all--zone=work#查看指定區(qū)域的防火墻策略[root@Server01~]#firewall-cmd--permanent--zone=external--change-interface=ens33success[root@Server01~]#firewall-cmd--get-zone-of-interface=ens33trusted[root@Server01~]#firewall-cmd--permanent--get-zone-of-interface=ens33nozone三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。④把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動(dòng)/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接（遠(yuǎn)程控制服務(wù)器時(shí)請(qǐng)慎用）。[root@Server01~]#firewall-cmd--panic-onsuccess[root@Server01~]#firewall-cmd--panic-offsuccess三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。⑥查詢(xún)public區(qū)域是否允許請(qǐng)求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務(wù)中請(qǐng)求https的流量設(shè)置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設(shè)定的服務(wù)[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。⑧把firewalld服務(wù)中請(qǐng)求https的流量設(shè)置為永久拒絕，并立即生效。[root@Server01

~]#

firewall-cmd

--permanent

--zone=public

--remove-service=https

success[root@Server01

~]#

firewall-cmd

--reload

[root@Server01

~]#firewall-cmd--list-all #查看生效的防火墻策略⑨把在firewalld服務(wù)中訪問(wèn)8088和8089端口的流量策略設(shè)置為允許，但僅限當(dāng)前生效。[root@Server01

~]#

firewall-cmd

--zone=public

--add-port=8088-8089/tcpsuccess[root@Server01

~]#

firewall-cmd

--zone=public

--list-ports

8088-8089/tcp三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)2．使用圖形管理工具（1）安裝firewall-config。(默認(rèn)已安裝)（2）啟動(dòng)圖形界面的firewall。在終端輸入命令firewall-config,功能如圖所示。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yumdnf.repos.d/dvd.repo[root@Server01~]#dnfinstallfirewall-config-y三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)1）將當(dāng)前區(qū)域中請(qǐng)求http服務(wù)的流量設(shè)置為允許，但僅限當(dāng)前生效，具體配置如圖【例6-1】

三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)2）嘗試添加一條防火墻策略規(guī)則，使其放行訪問(wèn)8088～8089端口（TCP）的流量，并將其設(shè)置為永久生效，以達(dá)到系統(tǒng)重啟后防火墻策略規(guī)則依然生效的目的。①選擇“端口”→“添加”，打開(kāi)“端口和協(xié)議”對(duì)話框。②配置完畢后單擊“確定”按鈕，如圖三、項(xiàng)目實(shí)施任務(wù)3-1使用firewalld服務(wù)③在“選項(xiàng)”菜單中單擊“重載防火墻”，讓配置的防火墻策略規(guī)則立即生效，如圖三、項(xiàng)目實(shí)施任務(wù)3-2設(shè)置SELinux的模式SELinux有3個(gè)模式（可以由用戶(hù)設(shè)置）。這些模式將規(guī)定SELinux在主體請(qǐng)求時(shí)如何應(yīng)對(duì)。

Enforcing（強(qiáng)制）：SELinux策略強(qiáng)制執(zhí)行，基于SELinux策略規(guī)則授予或拒絕主體對(duì)目標(biāo)的訪問(wèn)權(quán)限。

Permissive（寬容）：SELinux策略不強(qiáng)制執(zhí)行，沒(méi)有實(shí)際拒絕訪問(wèn)，但會(huì)有拒絕信息寫(xiě)入日志文件/var/log/messages。

Disabled（禁用）：完全禁用SELinux，使SELinux不起作用。三、項(xiàng)目實(shí)施任務(wù)3-2設(shè)置SELinux的模式與SELinux相關(guān)的文件主要有以下3類(lèi)。/etc/selinux/config和/etc/sysconfig/selinux：主要用于打開(kāi)和關(guān)閉SELinux。/etc/selinux/targeted/contexts：主要用于對(duì)contexts的配置。contexts是SELinux的安全上下文，是SELinux實(shí)現(xiàn)安全訪問(wèn)的重要功能。

/etc/selinux/targeted/policy：SELinux策略文件。直接修改/etc/selinux/config和/etc/sysconfig/selinux文件來(lái)控制是否啟用SELinux就可以了。/etc/sysconfig/selinux文件是/etc/selinux/config的鏈接文件，所以只要修改一個(gè)文件的內(nèi)容，另一個(gè)文件會(huì)同步改變。三、項(xiàng)目實(shí)施任務(wù)3-2設(shè)置SELinux的模式【例3-1】查看/etc/selinux/config文件。[root@Server01~]#cat/etc/selinux/config2．使用命令行命令設(shè)置SELinux的模式【例3-2】將SELinux模式改為寬容模式。[root@Server01~]#setenforce0 #0代表寬容模式（Permissive）[root@Server01~]#getenforcePermissive三、項(xiàng)目實(shí)施任務(wù)3-3設(shè)置SELinux安全上下文SELinuxcontexts稱(chēng)為SELinux安全上下文，簡(jiǎn)稱(chēng)上下文。在運(yùn)行SELinux的系統(tǒng)中，所有的進(jìn)程和文件都被標(biāo)記上與安全有關(guān)的信息，這就是安全上下文?！纠?-3】查看用戶(hù)、文件和進(jìn)程的安全上下文。[root@Server01~]#id-Z #查看用戶(hù)的安全上下文unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#ls-Zl #查看文件的安全上下文總用量8-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfg……三、項(xiàng)目實(shí)施任務(wù)3-3設(shè)置SELinux安全上下文【例3-4】使用命令semanage查看系統(tǒng)默認(rèn)的上下文。[root@Server01~]#semanagefcontext-l|head-10SELinuxfcontext類(lèi)型上下文/directorysystem_u:object_r:root_t:s0/.*allfilessystem_u:object_r:default_t:s0文件的安全上下文是可以更改的，可以使用chcon命令來(lái)實(shí)現(xiàn)三、項(xiàng)目實(shí)施任務(wù)3-3設(shè)置SELinux安全上下文【例3-5】使用chcon命令修改安全上下文。[root@Server01~]#ls-Zlanaconda-ks.cfg #查看anaconda-ks.cfg文件的上下文類(lèi)型-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#chcon-thttpd_cache_tanaconda-ks.cfg #修改文件的上下文類(lèi)型[root@Server01~]#ls-Zlanaconda-ks.cfg-rw-------.1rootrootsystem_u:object_r:httpd_cache_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#restorecon-vanaconda-ks.cfg #恢復(fù)anaconda-ks.cfg的安全上下文Relabeled/root/anaconda-ks.cfgfromsystem_u:object_r:httpd_cache_t:s0tosystem_u:object_r:admin_home_t:s0三、項(xiàng)目實(shí)施任務(wù)3-4管理布爾值【例3-6】查看系統(tǒng)中所有管理布爾值的設(shè)置。[root@Server01~]#getsebool–a【例3-7】查看系統(tǒng)中有關(guān)http的所有管理布爾值的設(shè)置。[root@Server01~]#getsebool-a|grephttp【例3-8】查看系統(tǒng)中有關(guān)ftp的所有管理布爾值的設(shè)置。[root@Server01~]#getsebool-a|grepftp三、項(xiàng)目實(shí)施任務(wù)3-4管理布爾值【例3-9】使用setsebool命令修改ftpd_full_access的管理布爾值的設(shè)置。#使vsftpd具有訪問(wèn)ftp根目錄以及文件傳輸?shù)臋?quán)限[root@Server01~]#getsebool-a|grepftpd_full_access ftpd_full_access-->off #數(shù)字1表示開(kāi)啟，數(shù)字0表示關(guān)閉

[root@Server01~]#setseboolftpd_full_access=1[root@Server01~]#getsebool-a|grepftpd_full_accessftpd_full_access-->on#以上設(shè)置重啟系統(tǒng)后會(huì)失效，加上大寫(xiě)的-P選項(xiàng)可以確保重啟系統(tǒng)后設(shè)置仍生效

[root@Server01~]#setsebool-Pftpd_full_access=on[root@Server01~]#setsebool-Pftpd_full_access1 #也可使用空格符代替“=”三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)統(tǒng)信UOSV20的防火墻（firewall）利用nat表能夠?qū)崿F(xiàn)NAT功能，將內(nèi)網(wǎng)地址與外網(wǎng)地址進(jìn)行轉(zhuǎn)換，完成內(nèi)、外網(wǎng)的通信。nat表支持以下3種操作。SNAT：改變數(shù)據(jù)包的源地址。DNAT：改變數(shù)據(jù)包的目的地址。MASQUERADE：MASQUERADE的作用與SNAT完全一樣，改變數(shù)據(jù)包的源地址。三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)1.企業(yè)環(huán)境企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D

所示。內(nèi)部主機(jī)使用/24網(wǎng)段的IP地址，并且使用統(tǒng)信UOSV20主機(jī)作為服務(wù)器連接互聯(lián)網(wǎng)，外網(wǎng)IP地址為固定IP地址（12）。三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)1.企業(yè)環(huán)境（1）配置SNAT保證內(nèi)網(wǎng)用戶(hù)能夠正常訪問(wèn)Internet。（2）配置DNAT保證外網(wǎng)用戶(hù)能夠正常訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器。統(tǒng)信UOSV20服務(wù)器和客戶(hù)端的信息如表所示：主機(jī)名操作系統(tǒng)IP地址角色內(nèi)網(wǎng)NAT客戶(hù)端：Server01統(tǒng)信UOSV20IP：（VMnet1）默認(rèn)網(wǎng)關(guān)：0Web服務(wù)器、firewalld防火墻：Server02統(tǒng)信UOSV20IP1:0（VMnet1）IP2:12（VMnet8）firewalld、SNAT、DNAT外網(wǎng)NAT客戶(hù)端：Client1統(tǒng)信UOSV2013（VMnet8）Web服務(wù)器、firewalld三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（1）在Server02上安裝雙網(wǎng)卡。①在Server02關(guān)機(jī)狀態(tài)下，在虛擬機(jī)中添加兩塊網(wǎng)卡：第1塊網(wǎng)卡連接到VMnet1，第2塊網(wǎng)卡連接到VMnet8。②啟動(dòng)Server02，以root用戶(hù)身份登錄計(jì)算機(jī)。③單擊右上角的網(wǎng)絡(luò)連接圖標(biāo)，配置。④設(shè)置網(wǎng)絡(luò)接口ens34的IP地址為：12/24。⑤按照前文的方法，設(shè)置ens32的IP地址為0/24。三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（2）測(cè)試環(huán)境。①配置Server01和Client1的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。Server02要安裝雙網(wǎng)卡，同時(shí)一定要注意計(jì)算機(jī)的網(wǎng)絡(luò)連接方式！②在Server01上測(cè)試與Server02和Client1的連通性[root@Server01

~]#

ping

0

-c4

//通[root@Server01

~]#

ping

12

-c4

//通[root@Server01

~]#

ping

13

-c4

//不通三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（2）測(cè)試環(huán)境。③在Server02上測(cè)試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測(cè)試與Server01和Server02的連通性。[root@Client1~]#ping-c412 //通[root@Client1~]#ping-c4 //不通connect:網(wǎng)絡(luò)不可達(dá)三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（3）在Server02上開(kāi)啟轉(zhuǎn)發(fā)功能。[root@client1~]#cat/proc/sys/net/ipv4/ip_forward1//確認(rèn)開(kāi)啟路由存儲(chǔ)轉(zhuǎn)發(fā)，其值為1。若沒(méi)有開(kāi)啟，則需要下面的操作[root@Server02~]#echo1>/proc/sys/net/ipv4/ip_forward三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（4）在Server02上將接口ens34加入外網(wǎng)區(qū)域external。通過(guò)NAT將內(nèi)網(wǎng)計(jì)算機(jī)的IP地址轉(zhuǎn)換成RHEL主機(jī)接口ens34的IP地址[root@Server02~]#firewall-cmd--get-zone-of-interface=ens34public[root@Server02~]#firewall-cmd--permanent--zone=external--change-interface=ens34TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（5）由于需要NAT連接網(wǎng)絡(luò)，因此將外網(wǎng)區(qū)域的偽裝打開(kāi)（Server02）。[root@Server02~]#firewall-cmd--permanent--zone=external--add-masquerade[root@Server02~]#firewall-cmd--reloadsuccess[root@Server02~]#firewall-cmd--permanent--zone=external--query-masqueradeyes #查詢(xún)偽裝是否打開(kāi)，下面的命令也可以[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（6）在Server02上配置內(nèi)部接口ens32。將內(nèi)部接口加入內(nèi)網(wǎng)區(qū)域（internal）[root@Server02~]#firewall-cmd--get-zone-of-interface=ens32public[root@Server02~]#firewall-cmd--permanent--zone=internal--change-interface=ens32TheinterfaceisundercontrolofNetworkManager,settingzoneto'internal'.success[root@Server02~]#firewall-cmd--reload[root@Server02~]#firewall-cmd--zone=internal--list-allinternal(active)三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（7）在外網(wǎng)Client1上配置供測(cè)試的Web服務(wù)器。[root@Client1~]#dnfcleanall[root@Client1~]#dnfinstallhttpd-y[root@Client1~]#firewall-cmd--permanent--add-service=http[root@Client1~]#firewall-cmd--reload[root@Client1~]#firewall-cmd--list-all[root@Client1~]#systemctlrestarthttpd[root@Client1~]#netstat-an|grep:80//查看80端口是否開(kāi)放[root@Client1~]# dnfinstallfirefox-y[root@Client1~]#firefox三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)2.配置SNAT并測(cè)試（8）在內(nèi)網(wǎng)Server01上測(cè)試SNAT配置是否成功。[root@Server01~]#ping13-c4[root@Server01~]#dnfinstallfirefox-y[root@Server01~]#firefox13三、項(xiàng)目實(shí)施NAT（SNAT和DNAT）企業(yè)實(shí)戰(zhàn)3.配置DNAT并測(cè)試（1）在S