《Linux網(wǎng)絡(luò)操作系統(tǒng)項目教程（統(tǒng)信UOS V20）（微課版）》項目3 配置與管理防火墻和SELinux

《網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux（統(tǒng)信UOSV20）（微課版）》項目3配置與管理防火墻和SELinux能力CAPACITY要求了解防火墻的分類及工作原理掌握firewalld防火墻的配置掌握NAT思政IDEOLOGY導(dǎo)入明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范和精神，樹立社會主義核心價值觀。思政IDEOLOGY目標“大學(xué)之道，在明明德，在親民，在止于至善?！薄啊呱窖鲋?，景行行止。’雖不能至，然心向往之”。了解計算機的主奠基人——華羅庚教授，知悉讀大學(xué)的真正含義，以德化人，激發(fā)學(xué)生的科學(xué)精神和愛國情懷。思政IDEOLOGY內(nèi)容華羅庚教授—我國計算技術(shù)的奠基人和最主要的開拓者之一。華羅庚教授在數(shù)學(xué)上的造詣和成就深受世界科學(xué)家的贊賞。在美國任訪問研究員時，華羅庚教授的心里就已經(jīng)開始勾畫我國電子計算機事業(yè)的藍圖了！華羅庚教授于1950年回國，1952年在全國高等學(xué)校院系調(diào)整時，他從清華大學(xué)電機系物色了閔乃大、夏培肅和王傳英三位科研人員，在他任所長的中國科學(xué)院應(yīng)用數(shù)學(xué)研究所內(nèi)建立了中國第一個電子計算機科研小組。1956年籌建中國科學(xué)院計算技術(shù)研究所時，華羅庚教授擔任籌備委員會主任。

項目設(shè)計與準備項目知識準備項目實施項目實錄一、項目知識準備防火墻概述通常所說的網(wǎng)絡(luò)防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護內(nèi)部網(wǎng)絡(luò)。

防火墻的分類方法多種多樣，不過從傳統(tǒng)意義上講，防火墻大致可以分為三大類，分別是“包過濾”“應(yīng)用代理”“狀態(tài)檢測”。一、項目知識準備iptables與firewalld早期的Linux系統(tǒng)采用ipfwadm作為防火墻，但在2.2.0版本中被ipchains取代。在統(tǒng)信UOSV20中，firewalld防火墻取代了iptables防火墻。實際上，iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具，或者說，它們只是一種服務(wù)。一、項目知識準備NAT基礎(chǔ)知識網(wǎng)絡(luò)地址轉(zhuǎn)換器（NetworkAddressTranslator，NAT）位于使用專用地址的內(nèi)聯(lián)網(wǎng)（Intranet）和使用公用地址的Internet之間。1.NAT主要具有以下幾種功能。（1）從Intranet傳出的數(shù)據(jù)包由NAT將它們的專用地址轉(zhuǎn)換為公用地址。（2）從Internet傳入的數(shù)據(jù)包由NAT將它們的公用地址轉(zhuǎn)換為專用地址。（3）支持多重服務(wù)器和負載均衡。（4）實現(xiàn)透明代理。一、項目知識準備NAT基礎(chǔ)知識

2．NAT的工作過程（1）客戶端將數(shù)據(jù)包發(fā)送給運行NAT的計算機。（2）NAT將數(shù)據(jù)包中的端口號和專用的IP地址換成自己的端口號和公用的IP地址，然后將數(shù)據(jù)包發(fā)送給外網(wǎng)的目的主機，同時在映像表中記錄一個跟蹤信息，以便向客戶端發(fā)送回答信息。（3）外網(wǎng)發(fā)送回答信息給NAT。（4）NAT將收到的數(shù)據(jù)包的端口號和公用IP地址轉(zhuǎn)換為客戶端的端口號和內(nèi)網(wǎng)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶端。一、項目知識準備NAT基礎(chǔ)知識擔當NAT的計算機有兩塊網(wǎng)卡、兩個IP地址。IP1為，IP2為。一、項目知識準備NAT的分類（1）源NAT（SourceNAT，SNAT）。是指修改第一個包的源IP地址。（2）目的NAT（DestinationNAT，DNAT）。是指修改第一個包的目的IP地址。一、項目知識準備SELinux安全增強型Linux（Security-EnhancedLinux，SELinux）是一個由美國國家安全局（NationalSecurityAgency，NSA）開發(fā)的安全子系統(tǒng)，它通過強制訪問控制（MAC）實現(xiàn)對Linux系統(tǒng)的安全加固，可以幫助系統(tǒng)管理員更好地保護系統(tǒng)免受惡意攻擊和安全漏洞的影響。項目設(shè)計與準備項目知識準備項目實施項目實錄二、項目設(shè)計與準備項目設(shè)計與準備（1）服務(wù)器安裝好統(tǒng)信UOSV20版本，并且必須保證常用服務(wù)正常工作?？蛻舳耸褂媒y(tǒng)信UOSV20或Windows網(wǎng)絡(luò)操作系統(tǒng)。服務(wù)器和客戶端能夠通過網(wǎng)絡(luò)進行通信。（2）或者利用虛擬機設(shè)置網(wǎng)絡(luò)環(huán)境。（3）3臺安裝好統(tǒng)信UOSV20的計算機。本項目要完成的任務(wù)如下。①安裝與配置firewalld。②配置SNAT和DNAT。項目設(shè)計與準備項目知識準備項目實施項目實錄三、項目實施任務(wù)3-1使用firewalld服務(wù)統(tǒng)信UOSV20集成了多款防火墻管理工具，其中firewalld提供了支持網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義的網(wǎng)絡(luò)連接以及接口安全等級的動態(tài)防火墻管理工具—統(tǒng)信UOSV20系統(tǒng)的動態(tài)防火墻管理器（dynamicfirewallmanagerofLinuxsystems）。統(tǒng)信UOSV20系統(tǒng)的動態(tài)防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項目實施任務(wù)3-1使用firewalld服務(wù)1．使用終端管理工具命令行終端是一種極富效率的運行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項目實施任務(wù)3-1使用firewalld服務(wù)（1）systemctl命令速查。systemctlunmaskfirewalld #執(zhí)行命令，即可實現(xiàn)取消服務(wù)的鎖定systemctlmaskfirewalld #下次需要鎖定該服務(wù)時執(zhí)行systemctlstartfirewalld.service #啟動防火墻systemctlstopfirewalld.service #禁用防火墻systemctlreloadfirewalld.service #重載配置systemctlrestartfirewalld.service #重啟服務(wù)systemctlstatusfirewalld.service #顯示服務(wù)的狀態(tài)systemctlenablefirewalld.service #在開機時啟用服務(wù)systemctldisablefirewalld.service #在開機時禁用服務(wù)systemctlis-enabledfirewalld.service #查看服務(wù)是否開機啟動systemctllist-unit-files|grepenabled #查看已啟動的服務(wù)列表systemctl--failed #查看啟動失敗的服務(wù)列表三、項目實施任務(wù)3-1使用firewalld服務(wù)（2）firewall-cmd命令速查。firewall-cmd--state #查看防火墻狀態(tài)firewall-cmd--reload #更新防火墻規(guī)則firewall-cmd--state #查看防火墻狀態(tài)firewall-cmd--reload #重載防火墻規(guī)則firewall-cmd--list-ports #查看所有打開的端口firewall-cmd--list-services #查看所有允許的服務(wù)firewall-cmd--get-services #獲取所有支持的服務(wù)三、項目實施任務(wù)3-1使用firewalld服務(wù)（3）區(qū)域相關(guān)命令速查。firewall-cmd--list-all-zones #查看所有區(qū)域信息firewall-cmd--get-active-zones #查看活動區(qū)域信息firewall-cmd--set-default-zone=public #設(shè)置public為默認區(qū)域firewall-cmd--get-default-zone #查看默認區(qū)域信息firewall-cmd--zone=public--add-interface=eth0 #將接口eth0加入?yún)^(qū)域public三、項目實施任務(wù)3-1使用firewalld服務(wù)（4）接口相關(guān)命令速查。firewall-cmd--zone=public--remove-interface=ens33#從區(qū)域public中刪除接口ens33firewall-cmd--zone=default--change-interface=ens33#修改接口ens33所屬區(qū)域為defaultfirewall-cmd--get-zone-of-interface=ens33#查看接口ens33所屬區(qū)域三、項目實施任務(wù)3-1使用firewalld服務(wù)（5）端口控制命令速查。firewall-cmd--add-port=80/tcp--permanent #永久開啟80端口(全局)firewall-cmd--remove-port=80/tcp--permanent #永久關(guān)閉80端口(全局)firewall-cmd--add-port=65001-65010/tcp--permanent#永久開啟65001-65010端口(全局)firewall-cmd--zone=public--add-port=80/tcp--permanent#永久開啟80端口(區(qū)域public)firewall-cmd--zone=public--remove-port=80/tcp--permanent#永久關(guān)閉80端口(區(qū)域public)firewall-cmd--zone=public--add-port=65001-65010/tcp--permanent#永久開啟65001-65010端口(區(qū)域public)firewall-cmd--query-port=8080/tcp #查詢端口是否開放firewall-cmd--permanent--add-port=80/tcp #開放80端口firewall-cmd--permanent--remove-port=8080/tcp #移除端口firewall-cmd--reload #重啟防火墻(修改配置后要重啟防火墻)三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。①查看firewalld服務(wù)當前狀態(tài)和使用的區(qū)域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態(tài)[root@Server01~]#systemctlrestartfirewalld[root@Server01~]#firewall-cmd--get-default-zone#查看默認區(qū)域public三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。②查詢防火墻生效ens33網(wǎng)卡在firewalld服務(wù)中的區(qū)域。[root@Server01~]#firewall-cmd--get-active-zones #查看當前防火墻中生效的區(qū)域[root@Server01~]#firewall-cmd--set-default-zone=trusted #設(shè)定默認區(qū)域三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。③把firewalld服務(wù)中ens33網(wǎng)卡的默認區(qū)域修改為external，并在系統(tǒng)重啟后生效。分別查看運行時模式與永久模式下的區(qū)域名稱。[root@Server01~]#firewall-cmd--list-all--zone=work#查看指定區(qū)域的防火墻策略[root@Server01~]#firewall-cmd--permanent--zone=external--change-interface=ens33success[root@Server01~]#firewall-cmd--get-zone-of-interface=ens33trusted[root@Server01~]#firewall-cmd--permanent--get-zone-of-interface=ens33nozone三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。④把firewalld服務(wù)的當前默認區(qū)域設(shè)置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接（遠程控制服務(wù)器時請慎用）。[root@Server01~]#firewall-cmd--panic-onsuccess[root@Server01~]#firewall-cmd--panic-offsuccess三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。⑥查詢public區(qū)域是否允許請求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務(wù)中請求https的流量設(shè)置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設(shè)定的服務(wù)[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項目實施任務(wù)3-1使用firewalld服務(wù)（6）使用終端管理工具實例。⑧把firewalld服務(wù)中請求https的流量設(shè)置為永久拒絕，并立即生效。[root@Server01

~]#

firewall-cmd

--permanent

--zone=public

--remove-service=https

success[root@Server01

~]#

firewall-cmd

--reload

[root@Server01

~]#firewall-cmd--list-all #查看生效的防火墻策略⑨把在firewalld服務(wù)中訪問8088和8089端口的流量策略設(shè)置為允許，但僅限當前生效。[root@Server01

~]#

firewall-cmd

--zone=public

--add-port=8088-8089/tcpsuccess[root@Server01

~]#

firewall-cmd

--zone=public

--list-ports

8088-8089/tcp三、項目實施任務(wù)3-1使用firewalld服務(wù)2．使用圖形管理工具（1）安裝firewall-config。(默認已安裝)（2）啟動圖形界面的firewall。在終端輸入命令firewall-config,功能如圖所示。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yumdnf.repos.d/dvd.repo[root@Server01~]#dnfinstallfirewall-config-y三、項目實施任務(wù)3-1使用firewalld服務(wù)1）將當前區(qū)域中請求http服務(wù)的流量設(shè)置為允許，但僅限當前生效，具體配置如圖【例6-1】

三、項目實施任務(wù)3-1使用firewalld服務(wù)2）嘗試添加一條防火墻策略規(guī)則，使其放行訪問8088～8089端口（TCP）的流量，并將其設(shè)置為永久生效，以達到系統(tǒng)重啟后防火墻策略規(guī)則依然生效的目的。①選擇“端口”→“添加”，打開“端口和協(xié)議”對話框。②配置完畢后單擊“確定”按鈕，如圖三、項目實施任務(wù)3-1使用firewalld服務(wù)③在“選項”菜單中單擊“重載防火墻”，讓配置的防火墻策略規(guī)則立即生效，如圖三、項目實施任務(wù)3-2設(shè)置SELinux的模式SELinux有3個模式（可以由用戶設(shè)置）。這些模式將規(guī)定SELinux在主體請求時如何應(yīng)對。

Enforcing（強制）：SELinux策略強制執(zhí)行，基于SELinux策略規(guī)則授予或拒絕主體對目標的訪問權(quán)限。

Permissive（寬容）：SELinux策略不強制執(zhí)行，沒有實際拒絕訪問，但會有拒絕信息寫入日志文件/var/log/messages。

Disabled（禁用）：完全禁用SELinux，使SELinux不起作用。三、項目實施任務(wù)3-2設(shè)置SELinux的模式與SELinux相關(guān)的文件主要有以下3類。/etc/selinux/config和/etc/sysconfig/selinux：主要用于打開和關(guān)閉SELinux。/etc/selinux/targeted/contexts：主要用于對contexts的配置。contexts是SELinux的安全上下文，是SELinux實現(xiàn)安全訪問的重要功能。

/etc/selinux/targeted/policy：SELinux策略文件。直接修改/etc/selinux/config和/etc/sysconfig/selinux文件來控制是否啟用SELinux就可以了。/etc/sysconfig/selinux文件是/etc/selinux/config的鏈接文件，所以只要修改一個文件的內(nèi)容，另一個文件會同步改變。三、項目實施任務(wù)3-2設(shè)置SELinux的模式【例3-1】查看/etc/selinux/config文件。[root@Server01~]#cat/etc/selinux/config2．使用命令行命令設(shè)置SELinux的模式【例3-2】將SELinux模式改為寬容模式。[root@Server01~]#setenforce0 #0代表寬容模式（Permissive）[root@Server01~]#getenforcePermissive三、項目實施任務(wù)3-3設(shè)置SELinux安全上下文SELinuxcontexts稱為SELinux安全上下文，簡稱上下文。在運行SELinux的系統(tǒng)中，所有的進程和文件都被標記上與安全有關(guān)的信息，這就是安全上下文?！纠?-3】查看用戶、文件和進程的安全上下文。[root@Server01~]#id-Z #查看用戶的安全上下文unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023[root@Server01~]#ls-Zl #查看文件的安全上下文總用量8-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfg……三、項目實施任務(wù)3-3設(shè)置SELinux安全上下文【例3-4】使用命令semanage查看系統(tǒng)默認的上下文。[root@Server01~]#semanagefcontext-l|head-10SELinuxfcontext類型上下文/directorysystem_u:object_r:root_t:s0/.*allfilessystem_u:object_r:default_t:s0文件的安全上下文是可以更改的，可以使用chcon命令來實現(xiàn)三、項目實施任務(wù)3-3設(shè)置SELinux安全上下文【例3-5】使用chcon命令修改安全上下文。[root@Server01~]#ls-Zlanaconda-ks.cfg #查看anaconda-ks.cfg文件的上下文類型-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#chcon-thttpd_cache_tanaconda-ks.cfg #修改文件的上下文類型[root@Server01~]#ls-Zlanaconda-ks.cfg-rw-------.1rootrootsystem_u:object_r:httpd_cache_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#restorecon-vanaconda-ks.cfg #恢復(fù)anaconda-ks.cfg的安全上下文Relabeled/root/anaconda-ks.cfgfromsystem_u:object_r:httpd_cache_t:s0tosystem_u:object_r:admin_home_t:s0三、項目實施任務(wù)3-4管理布爾值【例3-6】查看系統(tǒng)中所有管理布爾值的設(shè)置。[root@Server01~]#getsebool–a【例3-7】查看系統(tǒng)中有關(guān)http的所有管理布爾值的設(shè)置。[root@Server01~]#getsebool-a|grephttp【例3-8】查看系統(tǒng)中有關(guān)ftp的所有管理布爾值的設(shè)置。[root@Server01~]#getsebool-a|grepftp三、項目實施任務(wù)3-4管理布爾值【例3-9】使用setsebool命令修改ftpd_full_access的管理布爾值的設(shè)置。#使vsftpd具有訪問ftp根目錄以及文件傳輸?shù)臋?quán)限[root@Server01~]#getsebool-a|grepftpd_full_access ftpd_full_access-->off #數(shù)字1表示開啟，數(shù)字0表示關(guān)閉

[root@Server01~]#setseboolftpd_full_access=1[root@Server01~]#getsebool-a|grepftpd_full_accessftpd_full_access-->on#以上設(shè)置重啟系統(tǒng)后會失效，加上大寫的-P選項可以確保重啟系統(tǒng)后設(shè)置仍生效

[root@Server01~]#setsebool-Pftpd_full_access=on[root@Server01~]#setsebool-Pftpd_full_access1 #也可使用空格符代替“=”三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)統(tǒng)信UOSV20的防火墻（firewall）利用nat表能夠?qū)崿F(xiàn)NAT功能，將內(nèi)網(wǎng)地址與外網(wǎng)地址進行轉(zhuǎn)換，完成內(nèi)、外網(wǎng)的通信。nat表支持以下3種操作。SNAT：改變數(shù)據(jù)包的源地址。DNAT：改變數(shù)據(jù)包的目的地址。MASQUERADE：MASQUERADE的作用與SNAT完全一樣，改變數(shù)據(jù)包的源地址。三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)1.企業(yè)環(huán)境企業(yè)網(wǎng)絡(luò)拓撲如圖

所示。內(nèi)部主機使用/24網(wǎng)段的IP地址，并且使用統(tǒng)信UOSV20主機作為服務(wù)器連接互聯(lián)網(wǎng)，外網(wǎng)IP地址為固定IP地址（12）。三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)1.企業(yè)環(huán)境（1）配置SNAT保證內(nèi)網(wǎng)用戶能夠正常訪問Internet。（2）配置DNAT保證外網(wǎng)用戶能夠正常訪問內(nèi)網(wǎng)的Web服務(wù)器。統(tǒng)信UOSV20服務(wù)器和客戶端的信息如表所示：主機名操作系統(tǒng)IP地址角色內(nèi)網(wǎng)NAT客戶端：Server01統(tǒng)信UOSV20IP：（VMnet1）默認網(wǎng)關(guān)：0Web服務(wù)器、firewalld防火墻：Server02統(tǒng)信UOSV20IP1:0（VMnet1）IP2:12（VMnet8）firewalld、SNAT、DNAT外網(wǎng)NAT客戶端：Client1統(tǒng)信UOSV2013（VMnet8）Web服務(wù)器、firewalld三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（1）在Server02上安裝雙網(wǎng)卡。①在Server02關(guān)機狀態(tài)下，在虛擬機中添加兩塊網(wǎng)卡：第1塊網(wǎng)卡連接到VMnet1，第2塊網(wǎng)卡連接到VMnet8。②啟動Server02，以root用戶身份登錄計算機。③單擊右上角的網(wǎng)絡(luò)連接圖標，配置。④設(shè)置網(wǎng)絡(luò)接口ens34的IP地址為：12/24。⑤按照前文的方法，設(shè)置ens32的IP地址為0/24。三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（2）測試環(huán)境。①配置Server01和Client1的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。Server02要安裝雙網(wǎng)卡，同時一定要注意計算機的網(wǎng)絡(luò)連接方式?、谠赟erver01上測試與Server02和Client1的連通性[root@Server01

~]#

ping

0

-c4

//通[root@Server01

~]#

ping

12

-c4

//通[root@Server01

~]#

ping

13

-c4

//不通三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（2）測試環(huán)境。③在Server02上測試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測試與Server01和Server02的連通性。[root@Client1~]#ping-c412 //通[root@Client1~]#ping-c4 //不通connect:網(wǎng)絡(luò)不可達三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（3）在Server02上開啟轉(zhuǎn)發(fā)功能。[root@client1~]#cat/proc/sys/net/ipv4/ip_forward1//確認開啟路由存儲轉(zhuǎn)發(fā)，其值為1。若沒有開啟，則需要下面的操作[root@Server02~]#echo1>/proc/sys/net/ipv4/ip_forward三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（4）在Server02上將接口ens34加入外網(wǎng)區(qū)域external。通過NAT將內(nèi)網(wǎng)計算機的IP地址轉(zhuǎn)換成RHEL主機接口ens34的IP地址[root@Server02~]#firewall-cmd--get-zone-of-interface=ens34public[root@Server02~]#firewall-cmd--permanent--zone=external--change-interface=ens34TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（5）由于需要NAT連接網(wǎng)絡(luò)，因此將外網(wǎng)區(qū)域的偽裝打開（Server02）。[root@Server02~]#firewall-cmd--permanent--zone=external--add-masquerade[root@Server02~]#firewall-cmd--reloadsuccess[root@Server02~]#firewall-cmd--permanent--zone=external--query-masqueradeyes #查詢偽裝是否打開，下面的命令也可以[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（6）在Server02上配置內(nèi)部接口ens32。將內(nèi)部接口加入內(nèi)網(wǎng)區(qū)域（internal）[root@Server02~]#firewall-cmd--get-zone-of-interface=ens32public[root@Server02~]#firewall-cmd--permanent--zone=internal--change-interface=ens32TheinterfaceisundercontrolofNetworkManager,settingzoneto'internal'.success[root@Server02~]#firewall-cmd--reload[root@Server02~]#firewall-cmd--zone=internal--list-allinternal(active)三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（7）在外網(wǎng)Client1上配置供測試的Web服務(wù)器。[root@Client1~]#dnfcleanall[root@Client1~]#dnfinstallhttpd-y[root@Client1~]#firewall-cmd--permanent--add-service=http[root@Client1~]#firewall-cmd--reload[root@Client1~]#firewall-cmd--list-all[root@Client1~]#systemctlrestarthttpd[root@Client1~]#netstat-an|grep:80//查看80端口是否開放[root@Client1~]# dnfinstallfirefox-y[root@Client1~]#firefox三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)2.配置SNAT并測試（8）在內(nèi)網(wǎng)Server01上測試SNAT配置是否成功。[root@Server01~]#ping13-c4[root@Server01~]#dnfinstallfirefox-y[root@Server01~]#firefox13三、項目實施NAT（SNAT和DNAT）企業(yè)實戰(zhàn)3.配置DNAT并測試（1）在S