Linux網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（統(tǒng)信UOS V20）（微課版）（第5版）項(xiàng)目6 配置網(wǎng)絡(luò)和firewall防火墻

《Linux網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（統(tǒng)信UOSV20）（微課版）（第5版）》“十二五”“十三五”職業(yè)教育國家規(guī)劃教材首屆全國教材建設(shè)獎(jiǎng)全國優(yōu)秀教材一等獎(jiǎng)第6章配置網(wǎng)絡(luò)和firewall防火墻（含NAT）能力CAPACITY要求掌握常見網(wǎng)絡(luò)服務(wù)的配置方法掌握SNAT掌握DNAT思政IDEOLOGY導(dǎo)入了解我國的雪人計(jì)劃的背景和意義！思政IDEOLOGY目標(biāo)“盛年不重來，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人?！笔⑹乐?，青年學(xué)生要惜時(shí)如金，學(xué)好知識(shí)，報(bào)效國家。思政IDEOLOGY內(nèi)容雪人計(jì)劃：

2019年11月26日是全球互聯(lián)網(wǎng)發(fā)展歷程中值得銘記的一天，一封來自歐洲RIPENCC的郵件宣布全球43億個(gè)IPv4地址正式耗盡，人類互聯(lián)網(wǎng)跨入了IPv6時(shí)代。對(duì)于我國而言，在接下來的IPv6時(shí)代，我國存在著巨大機(jī)遇，其中我國推出的“雪人計(jì)劃”就是一個(gè)益國益民的大事，這一計(jì)劃必將助力中華民族的偉大復(fù)興，助力我國在互聯(lián)網(wǎng)方面取得更多話語權(quán)和發(fā)展權(quán)。讓我們拭目以待吧！項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄一、項(xiàng)目知識(shí)準(zhǔn)備修改主機(jī)名統(tǒng)信UOSV20主機(jī)要與網(wǎng)絡(luò)中的其他主機(jī)通信，首先要正確配置網(wǎng)絡(luò)。網(wǎng)絡(luò)配置通常包括主機(jī)名、IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等的設(shè)置。設(shè)置主機(jī)名是首要任務(wù)。統(tǒng)信UOSV20有以下3種形式的主機(jī)名（1）靜態(tài)（static）主機(jī)名（2）瞬態(tài)（transient）主機(jī)名（3）靈活（pretty）主機(jī)名一、項(xiàng)目知識(shí)準(zhǔn)備修改主機(jī)名方式1．使用nmtui修改主機(jī)名[root@Server01~]#nmtui一、項(xiàng)目知識(shí)準(zhǔn)備修改主機(jī)名2．使用hostnamectl修改主機(jī)名（1）查看主機(jī)名[root@Server01~]#hostnamectlstatusStatichostname:Server01（2）設(shè)置新的主機(jī)名[root@Server01~]#hostnamectlset-hostname（3）查看主機(jī)名[root@Server01~]#hostnamectlstatusStatichostname:……3．使用NetworkManager的命令行接口nmcli修改主機(jī)名（1）nmcli可以修改/etc/hostname中的靜態(tài)主機(jī)名。//查看主機(jī)名[root@Server01~]#nmcligeneralhostname//設(shè)置新主機(jī)名[root@Server01~]#nmcligeneralhostnameServer01[root@Server01~]#nmcligeneralhostnameServer01（2）重啟hostnamed服務(wù)讓hostnamectl知道靜態(tài)主機(jī)名已經(jīng)被修改[root@Server01~]#systemctlrestartsystemd-hostnamed一、項(xiàng)目知識(shí)準(zhǔn)備修改主機(jī)名一、項(xiàng)目知識(shí)準(zhǔn)備防火墻概述通常所說的網(wǎng)絡(luò)防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)。

通常所說的網(wǎng)絡(luò)防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間或者與其他外部網(wǎng)絡(luò)間互相隔離、限制網(wǎng)絡(luò)互訪，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)。

防火墻的分類方法多種多樣，不過從傳統(tǒng)意義上講，防火墻大致可以分為三大類，分別是“包過濾”“應(yīng)用代理”“狀態(tài)檢測(cè)”。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄二、項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目設(shè)計(jì)與準(zhǔn)備本項(xiàng)目要用到Server01和Client1，完成的任務(wù)如下。（1）配置Server01和Client1的網(wǎng)絡(luò)參數(shù)。（2）創(chuàng)建會(huì)話。（3）配置遠(yuǎn)程服務(wù)。其中Server01的IP地址為/24，Client1的IP地址為1/24，兩臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接方式都是橋接模式。項(xiàng)目設(shè)計(jì)與準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目實(shí)施項(xiàng)目實(shí)錄三、項(xiàng)目實(shí)施任務(wù)6-1使用系統(tǒng)菜單配置網(wǎng)絡(luò)①以Server01為例。任務(wù)欄上打開“啟動(dòng)器”，單擊“控制中心”→“網(wǎng)絡(luò)”→“有線網(wǎng)絡(luò)”→“有線網(wǎng)卡”，在有線網(wǎng)卡ens32一欄右側(cè)單擊“>”，打開網(wǎng)絡(luò)配置界面，一步步完成網(wǎng)絡(luò)配置。過程如圖。②設(shè)置完成后，單擊“應(yīng)用”按鈕應(yīng)用配置，回到圖1所示的界面。注意網(wǎng)絡(luò)連接應(yīng)該設(shè)置在“打開”狀態(tài)，如果在“關(guān)閉”狀態(tài)，請(qǐng)進(jìn)行修改。③再次單擊齒輪按鈕，顯示圖3所示的最終配置結(jié)果，一定勾選“自動(dòng)連接”選項(xiàng)，否則計(jì)算機(jī)啟動(dòng)后不能自動(dòng)連接網(wǎng)絡(luò).三、項(xiàng)目實(shí)施任務(wù)6-1使用系統(tǒng)菜單配置網(wǎng)絡(luò)按同樣方法配置Client1的網(wǎng)絡(luò)參數(shù)：IP地址為1/24，默認(rèn)網(wǎng)關(guān)為54。④在Server01上測(cè)試與Client1的連通性，測(cè)試成功。[root@Server01~]#ping1-c4PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=0.452ms64bytesfrom0:icmp_seq=2ttl=64time=0.241ms64bytesfrom0:icmp_seq=3ttl=64time=0.341ms64bytesfrom0:icmp_seq=4ttl=64time=0.263ms---0pingstatistics---4packetstransmitted,4received,0%packetloss,time3156msrttmin/avg/max/mdev=0.241/0.324/0.452/0.082ms三、項(xiàng)目實(shí)施任務(wù)6-2使用圖形界面配置網(wǎng)絡(luò)使用圖形界面配置網(wǎng)絡(luò)是比較方便、簡(jiǎn)單的一種網(wǎng)絡(luò)配置方式，仍以Server01為例。（1）使用nmtui命令來配置網(wǎng)絡(luò)。[root@Server01~]#nmtui將依次出現(xiàn)如下圖形配置：三、項(xiàng)目實(shí)施任務(wù)6-2使用圖形界面配置網(wǎng)絡(luò)（2）按下“顯示”按鈕，顯示信息配置框，如圖所示。在服務(wù)器主機(jī)的網(wǎng)絡(luò)配置信息中填寫IP地址/24等信息，單擊“確定”按鈕三、項(xiàng)目實(shí)施任務(wù)6-2使用圖形界面配置網(wǎng)絡(luò)（3）單擊“返回”按鈕回到nmtui圖形界面初始狀態(tài)，選中“啟用連接”選項(xiàng)，激活剛才的連接“ens32”。前面有“*”號(hào)表示激活，如圖所示。三、項(xiàng)目實(shí)施任務(wù)6-2使用圖形界面配置網(wǎng)絡(luò)（4）至此，在統(tǒng)信UOSV20系統(tǒng)中配置網(wǎng)絡(luò)的步驟就結(jié)束了，使用ifconfig命令測(cè)試配置情況。[root@Server01~]#ifconfigens32:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::58fc:be5e:bb2b:d086prefixlen64scopeid0x20<link>ether00:0c:29:c6:00:0atxqueuelen1000(Ethernet)……三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)1．常用命令nmcliconnectionshow：顯示所有連接。nmcliconnectionshow--active：顯示所有活動(dòng)的連接狀態(tài)。nmcliconnectionshow"ens32"：顯示網(wǎng)絡(luò)連接配置。nmclidevicestatus：顯示設(shè)備狀態(tài)。nmclideviceshowens32：顯示網(wǎng)絡(luò)接口屬性。nmcliconnectionaddhelp：查看幫助。nmcliconnectionreload：重新加載配置。nmcliconnectiondowntest2：禁用test2的配置，注意一個(gè)網(wǎng)卡可以有多個(gè)配置。nmcliconnectionuptest2：?jiǎn)⒂胻est2的配置。nmclidevicedisconnectens32：禁用ens32網(wǎng)卡，物理網(wǎng)卡。nmclideviceconnectens32：?jiǎn)⒂胑ns32網(wǎng)卡。三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)2．創(chuàng)建新連接配置（1）創(chuàng)建新連接配置default，IP通過DHCP自動(dòng)獲取[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens327f7ebeee-6baa-3528-b092-f4fc37273528ethernetens32[root@Server01~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens32連接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)已成功添加。三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)2．創(chuàng)建新連接配置（2）刪除連接[root@Server01~]#nmcliconnectiondeletedefault成功刪除連接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)。（3）創(chuàng)建新的連接配置test2，指定靜態(tài)IP，不自動(dòng)連接[root@Server01~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens32autoconnectnotypeEthernetipv4.addresses00/24gw454連接"test2"(e6404347-f914-4505-8cf8-ef4ab198d90e)已成功添加。三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)2．創(chuàng)建新連接配置（4）參數(shù)說明con-name：指定連接名字，沒有特殊要求。ipv4.methmod：指定獲取IP地址的方式。ifname：指定網(wǎng)卡設(shè)備名，也就是次配置所生效的網(wǎng)卡。autoconnect：指定是否自動(dòng)啟動(dòng)。ipv4.addresses：指定IPv4地址。gw4：指定網(wǎng)關(guān)。三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)3．查看/etc/sysconfig/network-scripts/目錄[root@Server01~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens32/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)4．啟用test2連接配置[root@Server01~]#nmcliconnectionuptest2連接已成功激活（D-Bus活動(dòng)路徑：/org/freedesktop/NetworkManager/ActiveConnection/3）[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest2e6404347-f914-4505-8cf8-ef4ab198d90eethernetens32ens327f7ebeee-6baa-3528-b092-f4fc37273528ethernet--三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)5．查看是否生效[root@Server01~]#nmclideviceshowens32GENERAL.DEVICE:ens32……基本的IP地址配置成功。三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)6．修改連接設(shè)置（1）修改test2為自動(dòng)啟動(dòng)[root@Server01~]#nmcliconnectionmodifytest2connection.autoconnectyes（2）修改DNS為

[root@Server01~]#nmcliconnectionmodifytest2ipv4.dns（3）添加DNS14[root@Server01~]#nmcliconnectionmodifytest2+ipv4.dns14（4）看下是否成功[root@Server01~]#cat/etc/sysconfig/network-scripts/ifcfg-test2三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)6．修改連接設(shè)置（5）刪除DNS[root@Server01~]#nmcliconnectionmodifytest2-ipv4.dns14（6）修改IP地址和默認(rèn)網(wǎng)關(guān)[root@Server01~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454（7）還可以添加多個(gè)IP[root@Server01~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@Server01~]#nmcliconnectionshow"test2"（8）為了不影響后面的實(shí)訓(xùn)，將test2連接刪除[root@Server01~]#nmcliconnectiondeletetest2三、項(xiàng)目實(shí)施任務(wù)6-3使用nmcli命令配置網(wǎng)絡(luò)7．nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的對(duì)應(yīng)關(guān)系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)統(tǒng)信UOSV20集成了多款防火墻管理工具，其中firewalld提供了支持網(wǎng)絡(luò)/防火墻區(qū)域（zone）定義的網(wǎng)絡(luò)連接以及接口安全等級(jí)的動(dòng)態(tài)防火墻管理工具—統(tǒng)信UOSV20系統(tǒng)的動(dòng)態(tài)防火墻管理器（dynamicfirewallmanagerofLinuxsystems）。統(tǒng)信UOSV20系統(tǒng)的動(dòng)態(tài)防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)1．使用終端管理工具命令行終端是一種極富效率的運(yùn)行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。①查看firewalld服務(wù)當(dāng)前狀態(tài)和使用的區(qū)域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態(tài)[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默認(rèn)區(qū)域public②查詢防火墻生效ens32網(wǎng)卡在firewalld服務(wù)中的區(qū)域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看當(dāng)前防火墻中生效的區(qū)域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #設(shè)定默認(rèn)區(qū)域三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。③把firewalld服務(wù)中ens32網(wǎng)卡的默認(rèn)區(qū)域修改為external，并在系統(tǒng)重啟后生效。分別查看運(yùn)行時(shí)模式與永久模式下的區(qū)域名稱。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定區(qū)域的火墻策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens32success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens32trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens32no

zone④把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。⑤啟動(dòng)/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接。三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。④把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動(dòng)/關(guān)閉firewalld服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。⑥查詢public區(qū)域是否允許請(qǐng)求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務(wù)中請(qǐng)求https的流量設(shè)置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設(shè)定的服務(wù)[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)（6）使用終端管理工具實(shí)例。⑧把firewalld服務(wù)中請(qǐng)求https的流量設(shè)置為永久拒絕，并立即生效。[root@Server01

~]#

firewall-cmd

--permanent

--zone=public

--remove-service=https

success[root@Server01

~]#

firewall-cmd

--reload

[root@Server01

~]#firewall-cmd--list-all #查看生效的防火墻策略⑨把在firewalld服務(wù)中訪問8088和8089端口的流量策略設(shè)置為允許，但僅限當(dāng)前生效。[root@Server01

~]#

firewall-cmd

--zone=public

--add-port=8088-8089/tcpsuccess[root@Server01

~]#

firewall-cmd

--zone=public

--list-ports

8088-8089/tcp三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)2．使用圖形管理工具（1）安裝firewall-config。（2）啟動(dòng)圖形界面的firewall。安裝完成后，計(jì)算機(jī)的“活動(dòng)”菜單中就會(huì)出現(xiàn)防火墻圖標(biāo)，在終端輸入命令firewall-config或者單擊“活動(dòng)”→“防火墻”。功能如圖所示。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yumdnf.repos.d/dvd.repo[root@Server01~]#dnfinstallfirewall-config-y三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)【例6-1】將當(dāng)前區(qū)域中請(qǐng)求http服務(wù)的流量設(shè)置為允許，但僅限當(dāng)前生效，具體配置如圖【例6-1】

三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)【例6-2】嘗試添加一條防火墻策略規(guī)則，使其放行訪問8088～8089端口（TCP）的流量，并將其設(shè)置為永久生效，以達(dá)到系統(tǒng)重啟后防火墻策略規(guī)則依然生效的目的。①選擇“端口”→“添加”，打開“端口和協(xié)議”對(duì)話框。②配置完畢后單擊“確定”按鈕，如圖三、項(xiàng)目實(shí)施任務(wù)6-4使用firewalld服務(wù)③在“選項(xiàng)”菜單中單擊“重載防火墻”，讓配置的防火墻策略規(guī)則立即生效，如圖三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT統(tǒng)信UOSV20的防火墻（firewall）利用nat表能夠?qū)崿F(xiàn)NAT功能，將內(nèi)網(wǎng)地址與外網(wǎng)地址進(jìn)行轉(zhuǎn)換，完成內(nèi)、外網(wǎng)的通信。nat表支持以下3種操作。SNAT：改變數(shù)據(jù)包的源地址。DNAT：改變數(shù)據(jù)包的目的地址。MASQUERADE：MASQUERADE的作用與SNAT完全一樣，改變數(shù)據(jù)包的源地址。三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT1.企業(yè)環(huán)境企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D

所示。內(nèi)部主機(jī)使用/24網(wǎng)段的IP地址，并且使用統(tǒng)信UOSV20主機(jī)作為服務(wù)器連接互聯(lián)網(wǎng)，外網(wǎng)IP地址為固定IP地址（12）。三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT1.企業(yè)環(huán)境（1）配置SNAT保證內(nèi)網(wǎng)用戶能夠正常訪問Internet。（2）配置DNAT保證外網(wǎng)用戶能夠正常訪問內(nèi)網(wǎng)的Web服務(wù)器。統(tǒng)信UOSV20服務(wù)器和客戶端的信息如表所示：三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（1）在Server02上安裝雙網(wǎng)卡。①在Server02關(guān)機(jī)狀態(tài)下，在虛擬機(jī)中添加兩塊網(wǎng)卡：第1塊網(wǎng)卡連接到VMnet1，第2塊網(wǎng)卡連接到VMnet8。②啟動(dòng)Server02，以root用戶身份登錄計(jì)算機(jī)。③單擊右上角的網(wǎng)絡(luò)連接圖標(biāo)，配置。④設(shè)置網(wǎng)絡(luò)接口ens34的IP地址為：12/24。⑤按照前文的方法，設(shè)置ens32的IP地址為0/24。三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（2）測(cè)試環(huán)境。①配置Server01和Client1的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等信息。Server02要安裝雙網(wǎng)卡，同時(shí)一定要注意計(jì)算機(jī)的網(wǎng)絡(luò)連接方式?、谠赟erver01上測(cè)試與Server02和Client1的連通性[root@Server01

~]#

ping

0

-c4

//通[root@Server01

~]#

ping

12

-c4

//通[root@Server01

~]#

ping

13

-c4

//不通③在Server02上測(cè)試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測(cè)試與Server01和Server02的連通性。三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（2）測(cè)試環(huán)境。③在Server02上測(cè)試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測(cè)試與Server01和Server02的連通性。[root@Client1~]#ping-c412 //通[root@Client1~]#ping-c4 //不通connect:網(wǎng)絡(luò)不可達(dá)三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（3）在Server02上開啟轉(zhuǎn)發(fā)功能。[root@client1~]#cat/proc/sys/net/ipv4/ip_forward1//確認(rèn)開啟路由存儲(chǔ)轉(zhuǎn)發(fā)，其值為1。若沒有開啟，則需要下面的操作[root@Server02~]#echo1>/proc/sys/net/ipv4/ip_forward三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（4）在Server02上將接口ens34加入外網(wǎng)區(qū)域external。通過NAT將內(nèi)網(wǎng)計(jì)算機(jī)的IP地址轉(zhuǎn)換成RHEL主機(jī)接口ens34的IP地址[root@Server02~]#firewall-cmd--get-zone-of-interface=ens34public[root@Server02~]#firewall-cmd--permanent--zone=external--change-interface=ens34TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（5）由于需要NAT連接網(wǎng)絡(luò)，因此將外網(wǎng)區(qū)域的偽裝打開（Server02）。[root@Server02~]#firewall-cmd--permanent--zone=external--add-masquerade[root@Server02~]#firewall-cmd--reloadsuccess[root@Server02~]#firewall-cmd--permanent--zone=external--query-masqueradeyes #查詢偽裝是否打開，下面的命令也可以[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（6）在Server02上配置內(nèi)部接口ens32。將內(nèi)部接口加入內(nèi)網(wǎng)區(qū)域（internal）[root@Server02~]#firewall-cmd--get-zone-of-interface=ens32public[root@Server02~]#firewall-cmd--permanent--zone=internal--change-interface=ens32TheinterfaceisundercontrolofNetworkManager,settingzoneto'internal'.success[root@Server02~]#firewall-cmd--reload[root@Server02~]#firewall-cmd--zone=internal--list-allinternal(active)三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（7）在外網(wǎng)Client1上配置供測(cè)試的Web服務(wù)器。[root@client2~]#mount/dev/cdrom/media[root@client2~]#dnfcleanall[root@client2~]#dnfinstallhttpd-y[root@client2~]#firewall-cmd--permanent--add-service=http[root@client2~]#firewall-cmd--reload[root@client2~]#firewall-cmd–list-all[root@client2~]#systemctlrestarthttpd[root@client2~]#netstat-an|grep:80 //查看80端口是否開放[root@client2~]#firefox三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT2.配置SNAT并測(cè)試（8）在內(nèi)網(wǎng)Server01上測(cè)試SNAT配置是否成功。[root@Server01~]#ping13-c4[root@Server01~]#firefox13[root@Client1~]#cat/var/log/httpd/access_log|grep[root@Client1~]#cat/var/log/httpd/access_log|grep12三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT3.配置DNAT并測(cè)試（1）在Server01上配置內(nèi)網(wǎng)Web服務(wù)器及防火墻。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#dnfcleanall[root@Server01~]#dnfinstallhttpd-y[root@Server01~]#systemctlrestarthttpd[root@Server01~]#netstat-an|grep:80 //查看80端口是否開放[root@Server01~]#firefox三、項(xiàng)目實(shí)施任務(wù)6-5配置NAT3.配置DNAT并測(cè)試（2）在Server02上配置DNAT。端口映