實(shí)驗(yàn)環(huán)境

本章實(shí)驗(yàn)環(huán)境要建立在上一章之上，ip等都是繼承上一章，完全在上一章之下的操作

Linux：firewalld防火墻-小環(huán)境實(shí)驗(yàn)（3）-CSDN博客https://blog.csdn.net/w14768855/article/details/133996151?spm=1001.2014.3001.5501????????????????????????????????????????????????????????????????????????????????

變化

我們這里外網(wǎng)還有網(wǎng)關(guān)，但是在真實(shí)的互聯(lián)網(wǎng)中公網(wǎng)上服務(wù)器之間不會(huì)指定某個(gè)為網(wǎng)關(guān)，所以今天就要把外網(wǎng)的服務(wù)器的網(wǎng)關(guān)去掉這時(shí)外網(wǎng)網(wǎng)關(guān)就無(wú)法去訪問(wèn)內(nèi)網(wǎng)這時(shí)就要通過(guò)某些手段去實(shí)現(xiàn)通信，然而我們把外網(wǎng)網(wǎng)關(guān)去掉以后內(nèi)網(wǎng)依然可以去和外網(wǎng)通信

需求

1）網(wǎng)關(guān)服務(wù)器上，把外網(wǎng)的ip偽裝關(guān)閉讓內(nèi)網(wǎng)和網(wǎng)站服務(wù)器不能不通過(guò)配置等操作，自由訪問(wèn)外網(wǎng)

再到外網(wǎng)接口把做地址轉(zhuǎn)換當(dāng)外網(wǎng)服務(wù)器訪問(wèn)網(wǎng)關(guān)外網(wǎng)接口（vm3）時(shí)可以訪問(wèn)到網(wǎng)站服務(wù)器（ip地址轉(zhuǎn)換）

再對(duì)內(nèi)網(wǎng)開(kāi)啟地址偽裝，可以讓內(nèi)網(wǎng)win10的整個(gè)網(wǎng)段去訪問(wèn)外網(wǎng)，而網(wǎng)站服務(wù)器無(wú)法去訪問(wèn)外網(wǎng)

同時(shí)不讓外網(wǎng)服務(wù)器去ping外網(wǎng)接口

2）在外網(wǎng)服務(wù)器上去掉網(wǎng)關(guān)，模擬公網(wǎng)環(huán)境

搭建一個(gè)http服務(wù)

可以通過(guò)訪問(wèn)外網(wǎng)接口訪問(wèn)進(jìn)入網(wǎng)站服務(wù)器（ip地址轉(zhuǎn)換）

外網(wǎng)服務(wù)器

去掉網(wǎng)關(guān)，進(jìn)入網(wǎng)卡配置文件把GATEWAY=***一行去掉讓重啟network服務(wù)即可?

?當(dāng)我們的外網(wǎng)去掉網(wǎng)關(guān)以后，我們?cè)偃ゾW(wǎng)站服務(wù)器或者內(nèi)網(wǎng)服務(wù)器再去ping外網(wǎng)服務(wù)器，發(fā)現(xiàn)依然可以ping通，這就是我們網(wǎng)卡自動(dòng)開(kāi)啟地址偽裝功能

網(wǎng)站服務(wù)器可以ping通外網(wǎng)服務(wù)器

內(nèi)網(wǎng)win10還可以ping通外網(wǎng)

這個(gè)需要等會(huì)去網(wǎng)關(guān)服務(wù)器上解決，關(guān)閉ip偽裝

現(xiàn)在先在外網(wǎng)服務(wù)器上再搭建一個(gè)http服務(wù)

?

網(wǎng)關(guān)服務(wù)器

firewall-cmd --remove-masquerade --zone=external --permanent

?現(xiàn)在就關(guān)閉了ip偽裝現(xiàn)在沒(méi)做任何配置，我們現(xiàn)在的內(nèi)網(wǎng)win10和網(wǎng)站服務(wù)器都訪問(wèn)不到外網(wǎng)服務(wù)器了

現(xiàn)在我們只放行內(nèi)網(wǎng)win10的整個(gè)網(wǎng)段進(jìn)行ip偽裝，不讓我們的網(wǎng)站服務(wù)器去主動(dòng)找人了

firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.254.0/24 masquerade' --permanent

外網(wǎng)接口區(qū)域?qū)?nèi)網(wǎng)的254整個(gè)網(wǎng)段開(kāi)啟ip偽裝?

內(nèi)網(wǎng)現(xiàn)在就能訪問(wèn)出去了

現(xiàn)在讓外網(wǎng)服務(wù)器ping不通網(wǎng)關(guān)服務(wù)器外網(wǎng)接口?

firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

firewall-cmd --reload

?

現(xiàn)在實(shí)際還可以通信只是網(wǎng)關(guān)服務(wù)器外網(wǎng)口不讓ping了而已

假如現(xiàn)在又申請(qǐng)到了一個(gè)ip100.1.1.100作為網(wǎng)站服務(wù)器轉(zhuǎn)換地址，如果沒(méi)有多的地址那么可以用外網(wǎng)口地址100.1.1.254也是一樣的

?

firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 destination address=100.1.1.100/24 forward-port port=80 protocol=tcp to-addr=192.168.1.1' --permanent

?現(xiàn)在就訪問(wèn)成功了文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-720488.html

到了這里，關(guān)于Linux：firewalld防火墻-(實(shí)驗(yàn)2)-IP偽裝與端口轉(zhuǎn)發(fā)（4）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！