RHEL7版-項目07網(wǎng)絡配置與Firewall課件

RHEL7版-項目07網(wǎng)絡配置與Firewalld防火墻管理RHEL7版-項目07網(wǎng)絡配置與Firewalld防火墻管理RHEL7版-項目07網(wǎng)絡配置與Firewalld防火墻管理項目7網(wǎng)絡配置與Firewalld防火墻的管理【職業(yè)知識目標】了解：網(wǎng)絡配置文件及配置方式;防火墻的概念、功能與分類；NAT服務的概念及分類熟悉:Linux防火墻的歷史演進與架構、firewalld防火墻的組成；NAT服務的工作過程掌握:主機名、以太網(wǎng)卡的設置；軟路由器的配置；防火墻的配置；NAT的配置方法【職業(yè)能力目標】會配置主機名和網(wǎng)卡、路由；會配置客戶端名稱解析架設軟路由器實現(xiàn)多子網(wǎng)連通會安裝FirewallD防火墻運行管理；會使用圖形工具firewall-config配置防火墻使用命令行工具firewall-cmd配置防火墻會使用firewalld防火墻部署NAT服務RHEL7版-項目07網(wǎng)絡配置與Firewalld防火墻管理項目7網(wǎng)絡配置與Firewalld防火墻的管理【職業(yè)知識目標】了解：網(wǎng)絡配置文件及配置方式;防火墻的概念、功能與分類；NAT服務的概念及分類熟悉:Linux防火墻的歷史演進與架構、firewalld防火墻的組成；NAT服務的工作過程掌握:主機名、以太網(wǎng)卡的設置；軟路由器的配置；防火墻的配置；NAT的配置方法【職業(yè)能力目標】會配置主機名和網(wǎng)卡、路由；會配置客戶端名稱解析架設軟路由器實現(xiàn)多子網(wǎng)連通會安裝FirewallD防火墻運行管理；會使用圖形工具firewall-config配置防火墻使用命令行工具firewall-cmd配置防火墻會使用firewalld防火墻部署NAT服務項目7網(wǎng)絡配置與Firewalld防火墻的管理【職業(yè)知德雅職業(yè)學校校園網(wǎng)由路由器或具有路由功能的交換機連接起來的多個子網(wǎng)構成,并通過租用電信400MB光纖接入互聯(lián)網(wǎng)。為了實現(xiàn)校園網(wǎng)內部各子網(wǎng)和校園網(wǎng)與互聯(lián)網(wǎng)的連通,網(wǎng)絡管理員需要從以下三個方面實施網(wǎng)絡配置:網(wǎng)絡主機(終端節(jié)點)的連網(wǎng)配置:對網(wǎng)絡中所有計算機或服務器的主機名、網(wǎng)絡接口(網(wǎng)卡)的配置(包括IP地址、子網(wǎng)掩碼、默認網(wǎng)關、DNS服務器的IP地址等),以便使同一子網(wǎng)中的主機之間能相互連通。網(wǎng)絡互連設備的配置:對內部網(wǎng)絡中連接各子網(wǎng)的路由器和交換機的配置。其目的是實現(xiàn)不同子網(wǎng)中的主機之間能夠相互連通,主要是路由信息的配置。網(wǎng)關設備的配置:是指在校園網(wǎng)與外部互聯(lián)網(wǎng)的交界處的設備上所實施的配置。主要包括防火墻和NAT服務的配置。通過防火墻規(guī)則設置以保護校園內部網(wǎng)絡中的主機(主要是服務器);通過NAT服務的配置以允許校園網(wǎng)內所有配置私網(wǎng)IP地址的主機能訪問外部互聯(lián)網(wǎng),同時,外網(wǎng)的用戶也可以訪問校園網(wǎng)內的某些服務器。7.1項目描述德雅職業(yè)學校校園網(wǎng)由路由器或具有路由功能的交換機連接起來的多7.2項目知識準備7-2-1

網(wǎng)絡配置的主要文件和對象1.網(wǎng)絡配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設置和保存靜態(tài)主機名/etc/machine-info用于設置和保存靈活主機名/etc/hosts用于設置主機名映射為IP地址,從而實現(xiàn)主機名的解析/etc/sysconfig/network-scripts/網(wǎng)絡接口(網(wǎng)卡)配置文件的存放目錄/etc/resolv.conf用于對主機的DNS服務器IP地址進行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設置主機的不同端口對應的網(wǎng)絡服務(一般無需修改)/usr/lib/sysctl.d/00-system.conf用于開啟或關閉路由轉發(fā)功能,從而使數(shù)據(jù)包能在不同子網(wǎng)之間轉發(fā)/etc/sysconfig/network-scripts/route-ensXX用于設置并保存靜態(tài)路由信息,從而將Linux服務器構建為軟路由器7.2項目知識準備7-2-1網(wǎng)絡配置的主要文件和對2.網(wǎng)絡配置的主要對象——網(wǎng)絡接口與網(wǎng)絡連接網(wǎng)絡接口是指網(wǎng)絡中的計算機或網(wǎng)絡設備與其他設備實現(xiàn)通訊的進出口。這里,主要是指計算機的網(wǎng)絡接口即網(wǎng)卡設備。從RHEL7開始引入了一種新的“一致網(wǎng)絡設備命名”的方式為網(wǎng)絡接口命名,該方式可以根據(jù)固件、設備拓撲、設備類型和位置信息分配固定的名字。網(wǎng)絡接口的名稱的前兩個字符為網(wǎng)絡類型符號。如:en——示以太網(wǎng)(Ethernet)、wl表示無線局域網(wǎng)(wlan)、ww表示無線廣域網(wǎng)(wwan);接下來的字符根據(jù)設備類型或位置選擇,如:o<index>——表示內置(onboard)于主板上的集成設備(即集成網(wǎng)卡)及索引號;s<slot>——表示是插在可以熱拔插的插槽上的獨立設備及索引號;x<MAC>——表示基于MAC地址命名的設備;p<bus>——表示PCI插槽的物理位置及編號。網(wǎng)絡連接則是為網(wǎng)絡接口實施配置的設置集合。在同一個網(wǎng)絡接口上,可以有多套不同的設置方案,即一個網(wǎng)絡接口可以有多個網(wǎng)絡連接,但同一時間只能有一個網(wǎng)絡連接處于活動狀態(tài)。7-2-1

網(wǎng)絡配置的主要文件和對象2.網(wǎng)絡配置的主要對象——網(wǎng)絡接口與網(wǎng)絡連接7-2-17.2.2認識防火墻1．什么是防火墻防火墻——是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,它能有效地監(jiān)控內部網(wǎng)和Internet之間的任何活動,保證了內部網(wǎng)絡的安全。7.2.2認識防火墻1．什么是防火墻2.防火墻的功能①過濾進出網(wǎng)絡的數(shù)據(jù)包,封堵某些禁止的訪問行為②對進出網(wǎng)絡的訪問行為作出日志記錄,并提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù),實現(xiàn)對網(wǎng)絡存取和訪問的監(jiān)控審計。③對網(wǎng)絡攻擊進行檢測和告警。防火墻可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑,并通知防火墻管理員。④提供數(shù)據(jù)包的路由選擇和網(wǎng)絡地址轉換(NAT),從而解決局域網(wǎng)中主機使用內部IP地址也能夠順利訪問外部網(wǎng)絡的應用需求。7.2.2認識防火墻2.防火墻的功能7.2.2認識防火墻3.防火墻的類型1）按采用的技術劃分①包過濾型防火墻——在網(wǎng)絡層或傳輸層對經(jīng)過的數(shù)據(jù)包進行篩選。篩選的依據(jù)是系統(tǒng)內設置的過濾規(guī)則，通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的IP源地址、IP目的地址、傳輸協(xié)議(TCP、UDP、ICMP等)、TCP/UDP端口號等因素，來決定是否允許該數(shù)據(jù)包通過。（包的大小1500字節(jié)）②代理服務器型防火墻——是運行在防火墻之上的一種應用層服務器程序，它通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層數(shù)據(jù)流的作用。7.2.2認識防火墻3.防火墻的類型7.2.2認識防火墻2）按實現(xiàn)的環(huán)境劃分①軟件防火墻：學校、上前臺電腦的網(wǎng)吧普通計算機+通用的操作系統(tǒng)（如：linux）②硬件（芯片級）防火墻：基于專門的硬件平臺和固化在ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密，具有速度快、處理能力強、性能高、價格比較昂貴的特點（如：NetScreen、FortiNet）通常有三個以上網(wǎng)卡接口外網(wǎng)接口：用于連接Internet網(wǎng)；內網(wǎng)接口：用于連接代理服務器或內部網(wǎng)絡；DMZ接口（非軍事化區(qū)）：專用于連接提供服務的服務器群。Console口4個10/100/1000口并發(fā)連接數(shù):500000網(wǎng)絡吞吐量:1100Mbps過濾帶寬:250Mbps

CheckPointUTM-1570

7.2.2認識防火墻2）按實現(xiàn)的環(huán)境劃分Console口4個10/100/1007.2.3Linux防火墻歷史演進與架構1．Linux防火墻的歷史從1.1內核開始，Linux系統(tǒng)就已經(jīng)具有包過濾功能了，隨著Linux內核版本的不斷升級，Linux下的包過濾系統(tǒng)經(jīng)歷了如下4個階段：在2.0內核中，包過濾的機制是ipfw，管理防火墻的命令工具是ipfwadm。在2.2內核中，包過濾的機制是ipchain，管理防火墻的命令工具是ipchains。在2.4之后的內核中，包過濾的機制是netfilter，防火墻的命令工具是iptables。在3.10之后的內核中,包過濾機制是netfilter,管理防火墻的工具有firewalld、iptables等。firewalld的官網(wǎng)：/7.2.3Linux防火墻歷史演進與架構1．Linux防2．Linux防火墻的架構Linux防火墻系統(tǒng)由以下三層架構的三個子系統(tǒng)組成:

①內核層的netfilter：netfilter是集成在內核中的一部分作用是定義、保存相應的過濾規(guī)則。提供了一系列的表，每個表由若干個鏈組成，而每條鏈可以由一條或若干條規(guī)則組成。netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器。表→鏈→規(guī)則的分層結構來組織規(guī)則②中間層服務程序:是連接內核和用戶的與內核直接交互的監(jiān)控防火墻規(guī)則的服務程序或守護進程,它將用戶配置的規(guī)則交由內核中的netfilter來讀取,從而調整防火墻規(guī)則。③用戶層工具:是Linux系統(tǒng)為用戶提供的用來定義和配置防火墻規(guī)則的工具軟件。7.2.3Linux防火墻歷史演進與架構2．Linux防火墻的架構7.2.3Linux防火墻歷史表→鏈→規(guī)則的結構來組織規(guī)則7.2.3Linux防火墻歷史演進與架構表→鏈→規(guī)則的結構來組織規(guī)則7.2.3Linux防火墻歷7.2.4RHEL7中防火墻的構件RHEL7中引入了一種與netfilter交互的新的中間層服務程序firewalld(舊版中的iptables、ip6tables和ebtables等仍保留),firewalld是一個可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)服務程序或守護進程,該守護進程具備了對IPv4、IPv6和ebtables等多種規(guī)則的監(jiān)控功能,不過firewalld底層調用的命令仍然是iptables等。firewalld防火墻體系結構如圖7-2所示。7.2.4RHEL7中防火墻的構件RHEL7中引入了一7.2.4RHEL7中防火墻的構件在RHEL7中用戶層的配置firewalld防火墻規(guī)則的工具有以下三種:圖形工具firewall-config。命令行工具firewall-cmd。直接編輯/etc/firewalld/目錄中擴展名為.xml的一系列配置文件。為了簡化防火墻管理,firewalld將所有網(wǎng)絡流量劃分為多個區(qū)域。根據(jù)數(shù)據(jù)包源IP地址或傳入網(wǎng)絡接口等條件,流量將轉入相應區(qū)域的防火墻規(guī)則,firewalld提供的幾種預定義的區(qū)域及防火墻初始規(guī)則見表7-2。7.2.4RHEL7中防火墻的構件在RHEL7中用戶層的7.2.4RHEL7中防火墻的構件區(qū)域(zone)區(qū)域中包含的初始規(guī)則trusted(受信任的)允許所有流入的數(shù)據(jù)包。home(家庭)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh,mdns,ipp-client,samba-client與ernal(內部)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關或是ssh,ipp-client與dhcpv6-client服務則允許。public(公開)拒絕流入的數(shù)據(jù)包,允許外出及服務ssh、dhcpv6-client,新添加的網(wǎng)絡接口缺省的默認區(qū)域。external(外部)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關,允許外出及服務ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認啟用了偽裝。dmz(隔離區(qū))拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關,允許外出及服務ssh。block(阻塞)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關。drop(丟棄)任何流入網(wǎng)絡的包都被丟棄,不作出任何響應,除非與輸出流量數(shù)據(jù)包相關。只允許流出的網(wǎng)絡連接。7.2.4RHEL7中防火墻的構件區(qū)域(zone)區(qū)域中數(shù)據(jù)包要進入到內核必須要通過這些區(qū)域(zone)中的一個,不同的區(qū)域里預定義的防火墻規(guī)則不一樣(即信任度或過濾的強度不一樣),人們可以根據(jù)計算機所處的不同的網(wǎng)絡環(huán)境和安全需求將網(wǎng)卡連接到相應區(qū)域(默認區(qū)域是public),并對區(qū)域中現(xiàn)有規(guī)則進行補充完善,進而制定出更為精細的防火墻規(guī)則來滿足網(wǎng)絡安全的要求。一塊物理網(wǎng)卡可以有多個網(wǎng)絡連接(邏輯連接),一個網(wǎng)絡連接只能連接一個區(qū)域,而一個區(qū)域可以接收多個網(wǎng)絡連接。根據(jù)不同的語法來源,firewalld包含的規(guī)則有以下三種：標準規(guī)則:利用firewalld的基本語法規(guī)范所制定或添加的防火墻規(guī)則。直接規(guī)則:當firewalld的基本語法表達不夠用時,通過手動編碼的方式直接利用其底層的iptables或ebtables的語法規(guī)則所制定的防火墻規(guī)則。富規(guī)則:firewalld的基本語法未能涵蓋的,通過富規(guī)則語法制定的復雜防火墻規(guī)則。7.2.4RHEL7中防火墻的構件數(shù)據(jù)包要進入到內核必須要通過這些區(qū)域(zone)中的一個,不公網(wǎng)地址與私網(wǎng)地址IP地址的分配與管理由ICANN管理機構負責，公網(wǎng)地址必須經(jīng)申請后才能合法使用。為解決IP地址資源緊缺問題，IANA機構將IP地址劃分了一部分出來，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內使用，不同局域網(wǎng)可重復使用?？墒褂玫乃骄W(wǎng)地址有：一個A類地址：/816個B類地址：/16~/16256個C類地址：/16。任務7.2.5NAT技術的概念、分類與工作過程公網(wǎng)地址與私網(wǎng)地址任務7.2.5NAT技術的概念、分類與任務7.2.5NAT技術的概念、分類與工作過程1．NAT服務的概念及分類NAT(NetworkAddressTranslation,網(wǎng)絡地址轉換)是一種用另一個地址來替換IP數(shù)據(jù)包頭部中的源地址或目的地址的技術。根據(jù)NAT替換數(shù)據(jù)包頭部中地址的不同,NAT分為源地址轉換SNAT(SourceNAT)(IP偽裝)和目的地址轉換DNAT(DestinationNAT)兩類。SNAT技術主要應用于在企事業(yè)單位內部使用私網(wǎng)IP地址的所有計算機能夠訪問互聯(lián)網(wǎng)上服務器,實現(xiàn)共享上網(wǎng),并且能隱藏內部網(wǎng)絡的IP地址。在RHEL7系統(tǒng)內置的防火墻中的IP偽裝功能就是SNAT技術具體實現(xiàn)方式。DNAT技術則能讓互聯(lián)網(wǎng)中用戶穿透到企事業(yè)的內部網(wǎng)絡,訪問使用私網(wǎng)IP地址的服務器,即無公網(wǎng)IP的內網(wǎng)服務器發(fā)布到互聯(lián)網(wǎng)(如發(fā)布Web網(wǎng)站和FTP站點等)。任務7.2.5NAT技術的概念、分類與工作過程1．NAT任務7.2.5NAT技術的概念、分類與工作過程2．NAT服務器的工作過程NAT服務器的工作過程如圖7-3所示。任務7.2.5NAT技術的概念、分類與工作過程2．NAT7.3項目實施任務7-1主機名的配置在RHEL7中,引入了靜態(tài)(static)、瞬態(tài)(transient)和靈活(pretty)三種主機名?！办o態(tài)”主機名——也稱為內核主機名,是系統(tǒng)在啟動時從/etc/hostname自動初始化的主機名?！八矐B(tài)”主機名——是在系統(tǒng)運行時臨時分配的主機名,例如,通過DHCP或DNS服務器分配。靜態(tài)主機名和瞬態(tài)主機名都遵從作為互聯(lián)網(wǎng)域名同樣的字符限制規(guī)則,“靈活”主機名——是允許使用自由形式(可包括特殊/空白字符)的主機名,以展示給終端用戶(如Tom'sComputer)。7.3項目實施任務7-1主機名的配置選項說明如下：status——可同時查看靜態(tài)、瞬態(tài)和靈活三種主機名及其相關的設置信息。--static——僅查看靜態(tài)(永久)主機名。--transient——僅查看瞬態(tài)(臨時)主機名。--pretty——僅查看靈活主機名。任務7-1主機名的配置hostnamectl[status][--static|--transient|--pretty]1.查看主機名查看主機名的命令一般格式如下:[root@dyzx~]#hostnamectlstatusStatichostname:Iconname:computer-vmChassis:vmMachineID:ebcaefed3f4d4359a7113ab85ec89629BootID:76f5e89582ff4e62930bfc2f5ee33aa6Virtualization:vmwareOperatingSystem:RedHatEnterpriseLinuxServer7.3(Maipo)CPEOSName:cpe:/o:redhat:enterprise_linux:7.3:GA:serverKernel:Linux3.10.0-514.el7.x86_64Architecture:x86-64選項說明如下：任務7-1主機名的配置hostnamect查看、修改瞬態(tài)(臨時)主機名的命令如下:任務7-1主機名的配置hostnamectl[--static|--transient|--pretty]set-hostname<新主機名>2.修改主機名修改主機名的命令一般格式如下:[root@dyzx~]#hostnamectl--transient //查看修改前的瞬態(tài)主機名[root@dyzx~]#hostnamectl--transientset-hostnameserver1 //修改瞬態(tài)主機名[root@dyzx~]#hostnamectl--transient //查看修改后的瞬態(tài)主機名server1查看、修改靜態(tài)(永久)主機名的命令如下:[root@dyzx~]#hostnamectl--static //查看修改前的靜態(tài)主機名[root@dyzx~]#hostnamectl--staticset-hostname //修改靜態(tài)主機名[root@dyzx~]#hostnamectl--static //查看修改后的靜態(tài)主機名查看、修改瞬態(tài)(臨時)主機名的命令如下:任務7-1主機名當用hostnamectl命令修改靜態(tài)主機名后,/etc/hostname文件中保存的主機名會被自動更新,而/etc/hosts文件中的主機名卻不會自動更新,因此,在每次修改主機名后,一定要手工更新/etc/hosts文件,在其中添加新的主機名與IP地址的映射關系任務7-1主機名的配置[root@dyzx~]#bash //重新開啟Shell[root@server2~]#2.修改主機名查看在設置新的靜態(tài)主機名后,會立即修改內核主機名,只是在提示符中“@”后面的主機名還未自動刷新,此時,只要執(zhí)行重新開啟Shell登錄命令,便可在提示符中顯示新的主機名。[root@server2~]#vim/etc/hosts localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1 localhostlocalhost.localdomainlocalhost6localhost6.localdomain61 //添加此行,其中1是本機的IP地址:wq //保存退出當用hostnamectl命令修改靜態(tài)主機名后,/etc/h由上可見,在修改靜態(tài)/瞬態(tài)主機名時,任何特殊字符或空白字符會被移除,并且大寫字母會自動轉化為小寫字母,而靈活主機名則保持了原樣,這正是起名為靈活主機名的緣由。任務7-1主機名的配置[root@server2~]#hostnamectlset-hostname"Zhang3'sComputer"[root@server2~]#hostnamectl--static //查看靜態(tài)主機名zhang3scomputer[root@server2~]#hostnamectl--transient //查看瞬態(tài)主機名zhang3scomputer[root@server2~]#hostnamectl--pretty //查看靈活主機名Zhang3'sComputer2.修改主機名同時修改靜態(tài)、瞬態(tài)和靈活三種主機名的命令如下:由上可見,在修改靜態(tài)/瞬態(tài)主機名時,任何特殊字符或空白字符會任何一臺計算機要連接到網(wǎng)絡,都需要對該機的網(wǎng)絡接口進行配置,而對網(wǎng)絡接口的配置,實際上就是在網(wǎng)絡接口上添加一個或多個網(wǎng)絡連接。添加網(wǎng)絡連接的方式有兩種：添加臨時生效的網(wǎng)絡連接:該方式適合在調試網(wǎng)絡時臨時使用。這種方式雖然在設置后能馬上生效,但由于是直接修改目前運行內核中的網(wǎng)絡參數(shù),并未改動網(wǎng)絡連接配置文件中的內容,因此在系統(tǒng)或網(wǎng)絡服務重啟后會失效。持久生效的網(wǎng)絡連接配置:此方式是對存放網(wǎng)絡連接參數(shù)的配置文件進行修改或設置,適合在長期穩(wěn)定運行的計算機上使用。其配置工具有vim、nmtui和nmcli等。任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置任何一臺計算機要連接到網(wǎng)絡,都需要對該機的網(wǎng)絡接口進行配置,1．使用ip命令配置臨時生效的網(wǎng)絡連接命令用法功能ip[-s]addrshow[網(wǎng)卡設備名]查看網(wǎng)卡在網(wǎng)絡層的配置信息,加-s表示增添顯示相關統(tǒng)計信息,如接收(RX)及傳送(TX)的數(shù)據(jù)包數(shù)量等ip[-s]linkshow[網(wǎng)卡設備名]查看網(wǎng)卡在鏈路層的配置信息ip[-4]addradd|delIP地址[/掩碼長度]dev網(wǎng)卡連接名ip-6addradd|delIP地址[/掩碼長度]dev網(wǎng)卡連接名添加或刪除網(wǎng)卡的臨時IPv4地址添加或刪除網(wǎng)卡的臨時IPv6地址iplinksetdev網(wǎng)卡的設備名down|up禁用|啟用指定網(wǎng)卡任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置1．使用ip命令配置臨時生效的網(wǎng)絡連接命令用法功能ip1．使用ip命令配置臨時生效的網(wǎng)絡連接【例7-1】在RHEL7-1主機上,為網(wǎng)卡ens33臨時添加一個IP地址1/24,并查看其配置結果。在重啟網(wǎng)卡后再次查看配置的結果。操作的命令如下:任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddrshowens33//查看接口ens33當前的IP地址和子網(wǎng)掩碼2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststate?UPqlen1000

?link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ff

?inet1/24?brd55scopeglobalens33valid_lftforeverpreferred_lftforever

?inet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever?已啟用的活動接口的狀態(tài)為UP,禁用接口的狀態(tài)為DOWN。?link行指定網(wǎng)卡設備的硬件(MAC)地址。?inet行顯示IPv4地址和網(wǎng)絡前綴(子網(wǎng)掩碼)。?廣播地址、作用域和網(wǎng)卡設備的名稱。?inet6行顯示IPv6信息。1．使用ip命令配置臨時生效的網(wǎng)絡連接任務7-2網(wǎng)絡接1．使用ip命令配置臨時生效的網(wǎng)絡連接任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddradd6/24devens33 //在接口ens33上添加臨時IP地址

[root@RHEL7-1~]#ipaddrshowens332:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUPqlen1000link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ffinet1/24brd55scopeglobalens33valid_lftforeverpreferred_lftforeverinet6/24scopeglobalens33valid_lftforeverpreferred_lftforeverinet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever[root@RHEL7-1~]#iplinksetdevens33down[root@RHEL7-1~]#iplinksetdevens33up

[root@RHEL7-1~]#ipaddrshow //顯示所有網(wǎng)絡接口的當前IP地址和子網(wǎng)掩碼//省略顯示結果1．使用ip命令配置臨時生效的網(wǎng)絡連接任務7-2網(wǎng)絡接2．用vim直接編輯持久生效的網(wǎng)卡配置文件【例7-2】在RHEL7-1主機上,通過編輯網(wǎng)絡連接配置文件為網(wǎng)卡ens33配置網(wǎng)絡參數(shù)。其配置方法如下:任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet //指定網(wǎng)絡類型為以太網(wǎng)模式BOOTPROTO=none //指定啟動地址協(xié)議的獲取方式(dhcp或bootp為自動獲取,none //為放棄自動獲取,一般用于網(wǎng)卡綁定時,static為靜態(tài)指定IPDEFROUTE=yes //是否把這個ens38設置為默認路由IPV4_FAILURE_FATAL=no //如果IPv4配置失敗,設備是否被禁用IPV6INIT=yes //允許在該網(wǎng)卡上啟動IPV6的功能IPV6_AUTOCONF=yes //是否使用IPV6地址的自動配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33 //網(wǎng)絡連接標識名UUID=00decbce-3c43-47f1-82a6-627cbd80188f //網(wǎng)卡全球通用唯一識別碼DEVICE=ens33 //網(wǎng)卡設備名ONBOOT=yes //設置系統(tǒng)或網(wǎng)絡服務在啟動時是否啟動該接口IPADDR=1 //設置IP地址PREFIX=24 //設置子網(wǎng)掩碼GATEWAY=54 //設置網(wǎng)關DNS1= //設置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A //網(wǎng)卡的物理地址(也稱網(wǎng)卡號)[root@dyzxnetwork-scripts]#systemctlrestartnetwork.service //重啟網(wǎng)絡服務,使配置生效2．用vim直接編輯持久生效的網(wǎng)卡配置文件任務7-2網(wǎng)3．用nmtui工具修改網(wǎng)卡配置文件【例7-3】使用nmtui工具,為RHEL7-1主機的第二塊網(wǎng)卡ens38配置網(wǎng)絡參數(shù)。其配置步驟如下:步驟1:檢查nmtui工具相應的服務是否啟用。RHEL7默認已安裝,并已開啟了相應的服務(NetworkManager.service)。若nmtui工具的安裝包已卸載可用以下命令進行安裝、啟用并檢查啟用狀態(tài)。[root@RHEL7-1~]#yuminstallNetworkManager-tui[root@RHEL7-1~]#systemctlstartNetworkManager.service[root@RHEL7-1~]#systemctlstatusNetworkManager.service步驟2:在命令行執(zhí)行以下命令:[root@rhel7-1~]#nmtui步驟3:在打開的【NetworkManag】窗口中按圖7-4所示完成操作。任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置3．用nmtui工具修改網(wǎng)卡配置文件[root@RHEL73．用nmtui工具修改網(wǎng)卡配置文件步驟4:系統(tǒng)返回【以太網(wǎng)】窗口,按【Tab】鍵將焦點移至【<Back>】→按【Enter】鍵→在返回的【NetworkManag】窗口中使用光標下移鍵將焦點移至【退出】選項→按【Enter】鍵后系統(tǒng)退出nmtui工具。步驟5:在命令行下,執(zhí)行重啟網(wǎng)絡服務命令,使配置生效。[root@RHEL7-1]#systemctlrestartnetwork.service任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置3．用nmtui工具修改網(wǎng)卡配置文件步驟4:系統(tǒng)返回【以太網(wǎng)4.使用nmcli命令配置網(wǎng)絡連接命令用法功能nmclidevstatus顯示所有網(wǎng)卡設備的狀態(tài)nmcliconshow[-active][網(wǎng)絡連接名]顯示所有或活動的或指定的網(wǎng)絡連接nmcliconaddcon-name網(wǎng)絡連接名typeethernetifname網(wǎng)絡接口名稱[ip4ip地址/前綴gw4默認網(wǎng)關]為指定的網(wǎng)卡設備添加網(wǎng)絡連接,并以“ifcfg-連接名”名稱保存其配置文件nmcliconmod網(wǎng)絡連接名ipv4.add“ip地址/前綴

默認網(wǎng)關”修改并保存指定網(wǎng)絡連接中的IP地址和網(wǎng)關nmcliconup網(wǎng)絡連接名將綁定到網(wǎng)絡接口上指定的網(wǎng)絡連接激活nmclidevdis網(wǎng)絡連接名將綁定到網(wǎng)絡接口上指定的網(wǎng)絡連接關閉nmclicondel網(wǎng)絡連接名刪除指定的網(wǎng)絡連接及其配置文件nmcliconreload重新讀取網(wǎng)絡連接配置文件,使其修改生效任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置4.使用nmcli命令配置網(wǎng)絡連接命令用法功能nmcli【例7-4】使用nmcli命令完成以下系列操作：①查看當前主機中所有網(wǎng)卡設備的狀態(tài)信息。任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置[root@rhel7-1~]#nmclidevstatus設備

類型

狀態(tài) CONNECTIONEns33 ethernet 連接的 ens33Ens38 ethernet 已斷開 --Lo loopback 未管理 --②查看網(wǎng)絡連接的信息。[root@RHEL7-1~]#nmcliconshow //查看所有網(wǎng)絡連接

名稱 UUID 類型

設備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --[root@RHEL7-1~]#nmcliconshowens33 //查看指定網(wǎng)絡連接的詳細信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: --erface-name:ens33connection.type: 802-3-ethernet//省略若干行【例7-4】使用nmcli命令完成以下系列操作：任務7-2任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置③在ens33設備上添加網(wǎng)絡連接名為ens33-1的新連接。[root@RHEL7-1~]#nmcliconaddcon-nameens33-1ifnameens33typeethernetip4/24gw454成功添加的連接'ens33-1'(b926e70b-07c6-4934-b020-9f95a1777f4e)。[root@RHEL7-1~]#nmcliconshow名稱 UUID 類型

設備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --ens33-1 b926e70b-07c6-4934-b020-9f95a1777f4e 802-3-ethernet --④修改ens33-1網(wǎng)絡連接在其中添加首選DNS的IP地址和輔助DNS的IP地址[root@RHEL7-1~]#nmcliconmodifyens33-1ipv4.dns[root@RHEL7-1~]#nmcliconmodifyens33-1+ipv4.dns⑤修改ens33網(wǎng)絡連接,使得開機時能自動啟動,并將IP地址/前綴修改為21/24。[root@RHEL7-1~]#nmcliconmodiens33autoconnectyesipv4.add21/24[root@RHEL7-1~]#nmcliconupens33 //激活連接使修改后的配置立即生效⑥刪除網(wǎng)絡連接ens33-1及其配置文件。[root@RHEL7-1~]#nmcliconnectiondeleteens33-1任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置③在ens33設備上添5.為Linux主機指派域名解析(1)通過/etc/hosts文件實現(xiàn)域名解析【例7-5】添加主機名與IP地址7的對應記錄。[root@RHEL7-1~]#vim/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6 RHEL7-1.7

任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置(2)通過/etc/resolv.conf文件指派域名解析服務的地址【例7-6】為當前主機設置如下DNS主機地址:0、。[root@RHEL7-1~]#vim/etc/resolv.conf#GeneratedbyNetworkManagernameserver0nameserver5.為Linux主機指派域名解析[root@RHEL7-1~5.為Linux主機指派域名解析(3)指定域名解析的順序/etc/hosts和/etc/resolv.conf文件均可響應域名解析的請求,其響應的先后順序可在文件/etc/nsswitch.conf中設置,其默認解析順序為hosts文件、resolv.conf文件中的DNS服務器。[root@RHEL7-1~]#grephosts/etc/nsswitch.conf#hosts:dbfilesnisplusnisdnshosts:filesdns //其中的files代表用hosts文件來進行名稱解析任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置5.為Linux主機指派域名解析[root@RHEL7-1~任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置6．測試網(wǎng)絡的連通性(1)使用ping命令測試網(wǎng)絡的連通性命令一般格式為:ping[選項]<目標主機名或IP地址>常用選項:-c數(shù)字——用于設定本命令發(fā)出的ICMP消息包的數(shù)量,若無此選項,則會無限次發(fā)送消息包直到用戶按下【Ctrl+C】組合鍵才終止命令。-s字節(jié)數(shù)——設置ping命令發(fā)出的消息包的大小,默認發(fā)送的測試數(shù)據(jù)大小為56字節(jié);自動添加8字節(jié)的ICMP協(xié)議頭后,顯示的是64字節(jié);再添加20字節(jié)的IP協(xié)議頭,則顯示的為84字節(jié)。最大設置值為65507B。-i時間間隔量——設定前后兩次發(fā)送ICMP消息包之間的時間間隔,無此選項時,默認時間間隔為1秒。為了保障本機和目標主機的安全,一般不要小于0.2秒。-t——設置存活時間TTL(TimeToLive)?！纠?-7】使用ping命令,向百度網(wǎng)站()發(fā)送三個測試數(shù)據(jù)包。[root@RHEL7-1~]#ping-c3任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置6．測試網(wǎng)絡的連通性p任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置6．測試網(wǎng)絡的連通性(2)使用tracepath命令跟蹤并顯示網(wǎng)絡路徑命令一般格式為:tracepath[選項]<目標主機名或目標IP地址>常用選項:-n——對沿途各主機節(jié)點,僅僅獲取并輸出IP地址,不在每個IP地址的節(jié)點設備上通過DNS查找其主機名,以此來加快測試速度。-b——對沿途各主機節(jié)點同時顯示IP地址和主機名。-l包長度——設置初始的數(shù)據(jù)包的大小。-p端口號——設置UDP傳輸協(xié)議的端口(缺省為33434)?！纠?-8】跟蹤從本主機到目標主機(如)的路由途徑。[root@RHEL7-1~]#tracepath1?:[LOCALHOST]pmtu15001:noreply2:2.957ms……//省略若干行Resume:pmtu1500hops10back10任務7-2網(wǎng)絡接口(網(wǎng)卡)的配置6．測試網(wǎng)絡的連通性t本任務針對圖7-5中(具有3個子網(wǎng))各主機及其網(wǎng)卡(網(wǎng)卡1～網(wǎng)卡6)進行配置,使得主機PC1與主機PC2之間的鏈路能雙向連通。其配置步驟如下:步驟1:按任務7-2中介紹的方法,依據(jù)圖7-5標示的IP地址、子網(wǎng)掩碼、默認網(wǎng)關等參數(shù)配置各網(wǎng)卡。任務7-3

架設軟路由器實現(xiàn)多子網(wǎng)連通本任務針對圖7-5中(具有3個子網(wǎng))各主機及其網(wǎng)卡(網(wǎng)卡1～步驟2:在RHEL7-1和RHEL7-2兩臺主機上開啟IP轉發(fā)功能,以使各主機中的網(wǎng)卡不僅能收發(fā)數(shù)據(jù)包還能轉發(fā)數(shù)據(jù)包。在RHEL7-1主機上開啟IP轉發(fā)功能的過程如下(RHEL7-2上的操作方式相同):[root@RHEL7-1~]#vim/usr/lib/sysctl.d/00-system.conf…… //省略若干行net.ipv4.ip_forward=1 //添加此行或將此行中的“0”改為“1”:wq //保存退出[root@RHEL7-1~]#sysctl-p/usr/lib/sysctl.d/00-system.conf //使修改生效(系統(tǒng)會顯示配置參數(shù))任務7-3

架設軟路由器實現(xiàn)多子網(wǎng)連通步驟3:為了實現(xiàn)子網(wǎng)1與子網(wǎng)3之間永久生效的雙向連通,需要在路由器RHEL7-1的ens38網(wǎng)卡上和RHEL7-2的ens33網(wǎng)卡上分別添加永久生效的靜態(tài)路由記錄:[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/route-ens38/24viadevens38 //添加從子網(wǎng)1到子網(wǎng)3的路由[root@RHEL7-1~]#systemctlrestartnetwork //重啟網(wǎng)絡服務使配置生效[root@RHEL7-2~]#vim/etc/sysconfig/network-scripts/route-ens33/24viadevens33 //添加從子網(wǎng)3到子網(wǎng)1的路由[root@RHEL7-2~]#systemctlrestartnetwork //重啟網(wǎng)絡服務使配置生效[root@RHEL7-2~]#iprouteshow //查看RHEL7-2上的路由表信息/24viadevens33protostaticmetric100/24devens33protokernelscopelinksrcmetric100/24devens38protokernelscopelinksrcmetric100步驟2:在RHEL7-1和RHEL7-2兩臺主機上開啟IP轉步驟4:在PC1上添加永久生效的能到達子網(wǎng)2(/24)和子網(wǎng)3(/24)的靜態(tài)路由,在PC2上添加永久生效的能到達其他子網(wǎng)的默認路由,如圖7-6所示。命令功能Linux系統(tǒng)中的命令格式Windows系統(tǒng)中的命令格式顯示路由表iprouteshowrouteprint[-4|-6]添加或刪除iprouteadd|del目標地址/子網(wǎng)掩碼via網(wǎng)關route[-p]add|delete目標地址mask掩碼網(wǎng)關metric躍點數(shù)添加或刪除默認路由iprouteadd|deldefaultvia網(wǎng)關dev網(wǎng)絡接口route[-p]add|deletemask掩碼網(wǎng)關metric躍點數(shù)(-p表示添加或刪除保存到注冊表中的永久路由記錄)任務7-3

架設軟路由器實現(xiàn)多子網(wǎng)連通步驟4:在PC1上添加永久生效的能到達子網(wǎng)2(192.168步驟5:驗證連通性。在PC1和PC2主機上關閉各自的防火墻→使用ping命令''ping"對方的IP地址來測試連通性.如圖7-7所示→使用tracert命令跟蹤并顯示所經(jīng)過的路徑,如圖7-8所示。任務7-3

架設軟路由器實現(xiàn)多子網(wǎng)連通步驟5:驗證連通性。在PC1和PC2主機上關閉各自的防火墻→1．安裝firewalld軟件包任務7-4

firewalld防火墻的安裝與運行管理[root@RHEL7-1~]#rpm-qa|grepfirewall[root@RHEL7-1~]#yum-yinstallfirewalldfirewall-config2．firewall服務的運行管理ss-nutap|grepfirewalld(1)firewalld防火墻的狀態(tài)查看、啟動、停止、重啟、重載服務的命令格式為:systemctlstatus|start|stop|restart|reloadfirewalld.service(2)開機自動啟動或停止firewalld服務的命令格式為:systemctlenable|disablefirewalld.service(3)檢查firewalld進程ps-ef|grepfirewalld(4)查看firewalld運行的端口1．安裝firewalld軟件包任務7-4firewa1.認識firewall-config的工作界面任務7-5使用圖形工具firewall-config配置防火墻1.認識firewall-config的工作界面任務7-51.認識firewall-config的工作界面任務7-5使用圖形工具firewall-config配置防火墻標簽名稱標簽的設置功能服務定義哪些區(qū)域的服務是可信的?？尚诺姆湛梢越壎ㄔ搮^(qū)的任意連接、接口和源地址。端口用于添加并設置允許訪問的主機或者網(wǎng)絡的附加端口或端口范圍。協(xié)議用于添加所有主機或網(wǎng)絡均可訪問的協(xié)議源端口添加額外的源端口或范圍,它們對于所有可連接至這臺主機的所有主機或網(wǎng)絡都需要是可以訪問的。偽裝將本地的私有網(wǎng)絡的多個IP地址進行隱藏并映射到一個公網(wǎng)IP,偽裝功能目前只能適用于ipv4。端口轉發(fā)將本地系統(tǒng)的(源)端口映射為本地系統(tǒng)或其他系統(tǒng)的另一個(目標)端口,此功能只適應于IPv4ICMP過濾器可以選擇Internet控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應富規(guī)則用于同時基于服務、主機地址、端口號等多種因素,進行更詳細、更復雜的規(guī)則設置,優(yōu)先級最高。接口用于為所選區(qū)域綁定相應的網(wǎng)絡接口(即網(wǎng)卡)來源用于為所選區(qū)域添加來源地址或地址范圍1.認識firewall-config的工作界面任務7-52.firewall-config的使用【例7-9】允許其他主機訪問本機的http服務,僅當前生效。任務7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務7-5使用圖2.firewall-config的使用【例7-10】開放本機的8080-8088端口且重啟后依然生效。任務7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務7-5使用圖2.firewall-config的使用【例7-11】過濾“echo-reply”的ICMP協(xié)議報文數(shù)據(jù)包,僅當前生效。任務7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務7-5使用圖2.firewall-config的使用【例7-12】僅允許8主機訪問本機()的1520端口,當前生效。任務7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務7-5使用圖2.firewall-config的使用【例7-13】將本機的網(wǎng)絡接口ens38添加到dmz區(qū)域,僅運行時生效。任務7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用任務7-5使用圖firewall-cmd命令一般格式為:任務7-6

使用命令行工具firewall-cmd配置防火墻firewall-cmd參數(shù)1[參數(shù)2][參數(shù)3]……參數(shù)作用--state查詢當前防火墻狀態(tài)--panic-on拒絕所有包。--permanent永久生效的設置。永久選項不直接影響運行時的狀態(tài),僅在重載或者重啟服務時可用--reload重新加載“永久”生效的配置規(guī)則,使其立即生效,否則要重啟后才生效--zone=<區(qū)域名稱>指定區(qū)域,若未指定區(qū)域則為當前默認區(qū)域--get-service查看當前激活services.取得當前支持service--get-active-zones查看當前活動區(qū)域(已經(jīng)有網(wǎng)絡接口連接的區(qū)域)--get-service--permanent查看當前服務配置是否生啟后還是生效--get-default-zone查詢當前默認的區(qū)域--set-default-zone=<區(qū)域名稱>將指定區(qū)域設置為默認區(qū)域,。此命令會改變運行時配置和永久配置--list-ports查看默認區(qū)域或指定區(qū)域的端口--list-services查看所有允許的服務--list-all[--zone=<區(qū)域名>]顯示指定區(qū)域全部啟用的特性。若省略區(qū)域,將顯示默認區(qū)域的信息--list-all-zones顯示所有區(qū)域的特性(網(wǎng)卡配置參數(shù),資源,端口以及服務等信息。--get-zones顯示所有可用的區(qū)域。列出當前有幾個zone--get-services顯示預先定義的服務--get-active-zones顯示當前正在使用(被網(wǎng)卡或源關聯(lián))的所有區(qū)域--add-source=將來源于此IP或子網(wǎng)的流量導向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導向某個指定區(qū)域firewall-cmd命令一般格式為:任務7-6使用命任務7-6

使用命令行工具firewall-cmd配置防火墻參數(shù)作用--get-active-zones顯示當前正在使用(被網(wǎng)卡或源關聯(lián))的所有區(qū)域--add-source=將來源于此IP或子網(wǎng)的流量導向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導向某個指定區(qū)域--add-interface=<網(wǎng)卡名稱>將來自于該網(wǎng)卡的所有流量都導向某個指定區(qū)域--change-interface=<網(wǎng)卡名稱>將指定的網(wǎng)卡接口修改到指定的區(qū)域,即將接口添加到選定的區(qū)域--remove-interface=<網(wǎng)卡名稱>從區(qū)域中刪除一個接口--query-interface=<網(wǎng)卡名稱>查詢區(qū)域中是否包含某接口--add-service=<服務名>設置默認區(qū)域或指定區(qū)域允許該服務的流量(添加開放的服務)--remove-service=<服務名>禁用區(qū)域中的指定服務--query-service=<服務名>查詢區(qū)域中的服務是否啟用--add-port=<端口號>[-<端口號>]/協(xié)議>啟用區(qū)域中的一個端口-協(xié)議組合--remove-port=<端口號>[-<端口號>]/協(xié)議>禁用區(qū)域中的一個端口-協(xié)議組合--query-port=<端口號>[-<端口號>]/協(xié)議>查詢區(qū)域中的端口-協(xié)議組合是否啟用[--zone=<zone>]--add-masquerade啟用偽裝。私有網(wǎng)絡的地址將被隱藏并映射到一個公有IP。這是地址轉換的一種形式,常用于路由。由于內核的限制,偽裝功能僅可用于IPv4[--zone=<zone>]--remove-masquerade禁止區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--query-masquerade查詢區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}在指定區(qū)域或默認區(qū)域中啟用端口轉發(fā)或映射--panic-on|off啟動/關閉應急狀況模式,應急狀況模式啟動后會禁止所有的網(wǎng)絡連接,一切服務的請求也都會被拒絕任務7-6使用命令行工具firewall-cmd配置防火【例7-14】假設在內網(wǎng)架設了一臺Web服務器,IP地址是,端口是80,設置內網(wǎng)網(wǎng)段/24中的主機均可以訪問此Web服務器,如圖7-16所示。步驟1:按圖7-16所示配置各主機和網(wǎng)卡參數(shù)→在RHEL7-2主機上重啟Firewalld防火墻→查看當前防火墻的配置。[root@RHEL7-2~]#systemctlrestartfirewalld.service[root@RHEL7-2~]#firewall-cmd--list-all任務7-6

使用命令行工具firewall-cmd配置防火墻【例7-14】假設在內網(wǎng)架設了一臺Web服務器,IP地址是1步驟2:查看當前的默認區(qū)域→查詢ens33網(wǎng)卡所屬的區(qū)域→設置默認區(qū)域為dmz→將ens33網(wǎng)卡永久移至dmz區(qū)域→重新載入防火墻設置使上述設置立即生效[root@RHEL7-2~]#firewall-cmd--get-default-zonepublic[root@RHEL7-2~]#firewall-cmd--get-zone-of-interface=ens33public[root@RHEL7-2~]#firewall-cmd--set-default-zone=dmz[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--change-interface=ens33[root@RHEL7-2~]#firewall-cmd--reload步驟3:安裝httpd服務軟件包→啟用httpd服務→創(chuàng)建網(wǎng)站的測試首頁。[root@RHEL7-2~]#yum-yinstallhttpd[root@RHEL7-2~]#systemctlstarthttpd.service[root@RHEL7-2~]#echo"防火墻配置測試">/var/www/html/index.html任務7-6

使用命令行工具firewall-cmd配置防火墻步驟2:查看當前的默認區(qū)域→查詢ens33網(wǎng)卡所屬的區(qū)域→設步驟4:測試:在本機可成功訪問網(wǎng)站→在網(wǎng)段/24中的其他主機上訪問失敗。[root@RHEL7-2~]#curl防火墻配置測試 //在本機RHEL7-2上訪問成功[root@RHEL7-1~]#curlcurl:(7)Failedconnectto:80;沒有到主機的路由//在其他主機RHEL7-1上訪問失敗步驟5:在dmz區(qū)域允許http服務流量通過,要求立即生效且永久有效。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-service=http[root@RHEL7-2~]#firewall-cmd--reload步驟6:在網(wǎng)段/24的其他主機上再次訪問網(wǎng)站便可成功。[root@RHEL7-1~]#curl防火墻配置測試任務7-6

使用命令行工具firewall-cmd配置防火墻步驟4:測試:在本機可成功訪問網(wǎng)站→在網(wǎng)段192.168.1【例7-15】為了安全起見,將【例7-14】中的Web服務器工作在8080端口,現(xiàn)要求通過端口轉換,讓用戶能通過“”的地址格式訪問。步驟1:配置httpd服務,使其工作在8080端口→重啟httpd服務。[root@RHEL7-2~]#vim/etc/httpd/conf/httpd.conf…… //省略若干行Listen8080 //42行:將httpd監(jiān)聽端口修改為8080…… //省略若干行:wq //保存退出[root@RHEL7-2~]#systemctlrestarthttpd.service步驟2:允許8080與8088端口流量通過dmz區(qū)域,立即生效且永久生效;查看對端口的操作是否成功。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-port=8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--zone=dmz--list-ports8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--list-ports8080-8088/tcp任務7-6

使用命令行工具firewall-cmd配置防火墻【例7-15】為了安全起見,將【例7-14】中的Web服務器步驟3:初步測試。在本機和其他主機上使用“:8080”格式訪問均能成功,而使用“”格式訪問均失敗。[root@RHEL7-1~]#curl:8080防火墻配置測試[root@RHEL7-2~]#curl:8080防火墻配置測試[root@RHEL7-2~]#curlcurl:(7)Failedconnectto:80;拒絕連接步驟4:添加一條永久生效的富規(guī)則,把從/24網(wǎng)段進入的數(shù)據(jù)流的目標80端口轉換為8080端口→讓以上配置立即生效→查看dmz區(qū)域的配置結果。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080"[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--list-allzone=dmz任務7-6

使用命令行工具firewall-cmd配置防火墻步驟3:初步測試。在本機和其他主機上使用“http://19步驟5:添加一條富規(guī)則,拒絕/24網(wǎng)段的用戶訪問http服務。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24servicename=httprejectsuccess步驟6:測試。在網(wǎng)段/24的某臺主機中,在打開的瀏覽器的地址欄中輸入“/”,若能成功訪問,則表明防火墻成功地將80端口轉換到了8080端口,如圖7-17所示。。任務7-6

使