Привет всем, мы снова встретились, я ваш друг Цюаньчжаньцзюнь

1. Экспериментальные требования

1. Внешней сети не разрешено взаимодействовать с внутренней сетью без прохождения брандмауэра.

2. Разрешить пользователям интрасети доступ к внешним серверам HTTP и HTTPS через брандмауэр.

3. Разрешить пользователям интрасети доступ к внешним FTP-серверам через брандмауэр.

2. Экспериментальная среда

1. Используйте две виртуальные машины Linux и одну физическую машину Win10. Один хост Linux служит шлюзом (требуются две сетевые карты), другой хост Linux служит внутренней сетью, а физическая машина используется в качестве внешней сети.

2. Я использую Red Hat версии 6.5. Команды Red Hat 7 и выше сильно отличаются от этой версии.

3. Экспериментальные этапы

1. Настройте шлюз

(1): Установите шлюз на две сетевые карты.

виртуальная машина–>настраивать–>сетевой адаптер–>добавить в–>сетевой адаптер–>Заканчивать

Результат после добавления такой, как показано на рисунке

Среди них сетевой адаптер, подключенный к внутренней сети, находится в режиме NAT, а сетевой адаптер, подключенный к внешней сети, — в режиме VMnet8 (NAT).

(2): Просмотр файла конфигурации.

cd /etc/sysconfig/network-scripts/ Перейдите в соответствующий каталог файла конфигурации.

mv ifcfg-eth0 ifcfg-eth1 Переименуйте файл конфигурации (чтобы он соответствовал имени сетевой карты)

cp ifcfg-eth1 ./ifcfg-eth2 Поскольку настроены две сетевые карты, теперь существует только один файл конфигурации, поэтому скопируйте файл конфигурации, чтобы настроить сетевую карту 2.

(3): Измените содержимое файла конфигурации сетевой карты 1 (сетевой карты, подключенной к интрасети).

Содержимое файла конфигурации следующее:

IP-адрес должен находиться в том же сегменте сети, что и IP-адрес внутренней сети.

(4): Измените содержимое файла конфигурации сетевой карты 2 (сетевая карта вне соединения).

Примечание. В файле конфигурации IP-адрес нельзя указать случайно. Сначала вам следует проверить IP-адрес сетевой карты VMnet8 на физическом компьютере (win10), чтобы IP-адрес и сетевая карта VMnet8 находились в одном сегменте сети (но старайтесь не использовать xxx.xxx.xxx.2, поскольку это общий шлюз, во избежание конфликтов).

Используйте ipconfig на физическом компьютере, чтобы просмотреть IP-адрес VMnet8.

Вы можете видеть, что установленный IP-адрес находится в том же сегменте сети, что и сетевая карта VMnet8.

(5): Перезапустите сетевую службу.

(6): Установите функцию пересылки

Изменить файл конфигурации

Содержимое файла конфигурации следующее

Просто измените значение в поле с исходного 0 на 1, чтобы указать, что функция переадресации включена.

(7): Загрузите ядро

Таким образом настраивается шлюз.

2. Настройте интрасеть

(1): Установите сетевой адаптер интрасети в режим NAT.

(2): Изменить файл конфигурации

Перейдите в соответствующий каталог файла конфигурации.

Изменить файл конфигурации

Содержимое файла конфигурации следующее

IP-адрес интрасети и IP-адрес сетевой карты шлюза 1 должны находиться в одном сегменте сети. Шлюз (ШЛЮЗ) интрасети — это IP-адрес сетевой карты, подключенной к интерфейсу сетевой карты eth1 интрасети, а также IP-адрес сетевой карты шлюза 1. DNS-сервер установлен.

(3): Перезапустите сетевую службу.

3. Проверка

Таким образом, простая среда настроена и готова к проверке. Внешнюю сеть можно проверить из внутренней сети, но внутреннюю сеть нельзя проверить из внешней сети.

Проще говоря, почему внешняя сеть не может пропинговать внутреннюю сеть. Это потому, что IP-адрес внутренней сети является частным IP-адресом. При доступе к IP-адресу из внешней сети IP-адрес будет перенаправлен на маршрутизатор, и IP-адрес будет перенаправлен на маршрутизатор. Маршрутизатор обнаружит, что это частный IP-адрес, поэтому пакет будет отброшен. Таким образом, внутреннюю сеть невозможно проверить из внешней сети.

4. Установите политики брандмауэра по мере необходимости.

Прежде всего, поскольку для пересылки пакетов данных используется шлюз, в интрасети должна быть установлена ​​политика брандмауэра.

1. Внешней сети не разрешено взаимодействовать с внутренней сетью без прохождения брандмауэра.

Идея: сначала получите доступ к двум IP-адресам веб-сайтов в интрасети одновременно. Оба могут быть проверены сначала. Затем установите политику брандмауэра на шлюзе, чтобы запретить один из IP-адресов. Если вы обнаружите, что не можете немедленно выполнить проверку связи. что все пакеты данных, входящие и исходящие из интрасети, прошли через брандмауэр.

(1): Сначала можно выполнить проверку связи, но после добавления брандмауэра проверка связи невозможна.

(2): Поскольку политика брандмауэра не добавлена, пинг всегда можно выполнить.

(3): Политика межсетевого экрана, установленная на шлюзе, следующая:

2. Разрешить пользователям интрасети доступ к внешним серверам HTTP и HTTPS через брандмауэр.

Идея: сначала не устанавливайте никаких правил. Внутренняя сеть может получить доступ к внешней сети. Добавьте политику брандмауэра, чтобы ограничить порты 80 и 443. В настоящее время браузер не может получить доступ. Обратите внимание, что в конце концов используйте браузер для доступа и не пингуйте внешнюю сеть, поскольку ping использует пакеты ICMP.

HTTP-протокол

(1): Прежде чем добавлять стратегию брандмауэра,Может получить доступ к внешней сети (используйте порт 80 для доступа,Western Mail использует HTTP-протокол)

(2): После добавления политики брандмауэра доступ к внешней сети невозможен.

(3): Политика брандмауэра следующая:（Уведомление,Потому что он пересылается на шлюз. Поэтому порт 80 в цепочке FORWARD должен быть отключен.,Внутренняя сеть не может получить доступ к внешней сети через HTTP-протокол)

HTTPS-протокол

(1): Прежде чем добавлять стратегию брандмауэра,Может получить доступ к внешней сети (используйте порт 443 для доступа,Baidu использует HTTPS-протокол)

(2): После добавления политики брандмауэра доступ к внешней сети невозможен.

(3): Политика брандмауэра следующая:（Уведомление,Потому что он пересылается на шлюз. Поэтому порт 80 в цепочке FORWARD должен быть отключен.,Внутренняя сеть не может получить доступ к внешней сети через HTTPS-протокол)

3. Разрешить пользователям интрасети доступ к внешним FTP-серверам через брандмауэр.

Поделитесь удобным веб-сайтом FTP-сервера: ftp://ftp.scene.org/music/groups/

(1): Вы можете получить доступ к FTP-серверу перед добавлением политики брандмауэра.

(2): После настройки политики брандмауэра доступ к FTP-серверу невозможен.

(3): Политика брандмауэра следующая:

Особое примечание: из-за схемы топологии этого эксперимента, поскольку для пересылки используется шлюз и на шлюзе развернут брандмауэр, цепочку FORWARD необходимо отключить. Отключение других цепочек может не дать ожидаемого эффекта.

Заявление об авторских правах: Содержание этой статьи добровольно предоставлено пользователями Интернета, а мнения, выраженные в этой статье, представляют собой только точку зрения автора. Данный сайт лишь предоставляет услуги по хранению информации, не имеет никаких прав собственности и не несет соответствующей юридической ответственности. Если вы обнаружите на этом сайте какое-либо подозрительное нарушение авторских прав/незаконный контент, отправьте электронное письмо, чтобы сообщить. После проверки этот сайт будет немедленно удален.

Издатель: Лидер стека программистов полного стека, укажите источник для перепечатки: https://javaforall.cn/190625.html Исходная ссылка: https://javaforall.cn